Інсталювання оновлень програмного забезпечення для пристроїв Apple, зокрема примусово
За допомогою декларативного керування пристроями організації можуть налаштовувати різні аспекти процесу оновлення програмного забезпечення. Це, зокрема, керування доступністю програмного забезпечення, примусове оновлення, реєстрація пристроїв у програмах бета-тестування та інше.
Вимоги до мінімальної версії під час реєстрації
Починаючи з iOS 17, iPadOS 17 і macOS 14, рішення MDM можуть запроваджувати вимогу щодо мінімальної версії операційної системи під час автоматичної реєстрації пристрою. Якщо пристрій не має очікуваної рішенням керування мобільними пристроями (MDM) мінімальної версії, користувачеві буде запропоновано процедуру оновлення, перш ніж він зможе продовжити роботу Асистента налаштування. Те саме відбувається автоматично, коли використовується функція «Автопросування». Так пристрої, які належать організації, гарантовано матимуть необхідну версію операційної системи, перш ніж почнуть використовуватися.
Керування доступністю оновлень ПЗ
Організації переважно прагнуть контролювати, до яких версій користувачі можуть оновлювати свої пристрої. Цей контроль, наприклад, можна використовувати для перевірки оновлення тестовою групою, перш ніж усі користувачі зможуть його інсталювати, або для застосування різних відтермінувань для окремих груп, щоб розділити розгортання оновлень на етапи.
Відтермінування на основі часу
На пристроях під наглядом можна заборонити пропозиції оновлення ПЗ через OTA, доки не мине визначений проміжок часу з моменту випуску оновлення компанією Apple. Наприклад, ваш парк пристроїв iPhone використовує iOS 17.3, а конфігурація визначає відтермінування оновлення на 30 днів. У цьому випадку через 30 днів від дати випуску iOS 17.4 користувачам керованих пристроїв буде запропоновано оновитися до iOS 17.4.
Під час конфігурування організації можуть вибрати власний період відтермінування, який може становити від 1 до 90 днів. У системах iOS та iPadOS ця затримка застосовується до оновлень операційної системи та нових випусків. У macOS можна також указувати різні періоди відтермінування для невеликих оновлень, нових випусків і оновлень несистемного ПЗ. До оновлень несистемного ПЗ належать оновлення для Safari, XProtect, оновлення драйверів принтера та інструментів командного рядка Xcode. Наприклад, налаштовуване відтермінування можна використовувати в macOS, щоб відкладати оновлення до нової версії системи на довший термін, ніж передбачено для невеликих оновлень.
Примітка. Оновлення через OTA зазвичай доступні протягом 180 днів від дати випуску — це забезпечує доступність для керованих пристроїв, до яких застосовано максимальне відтермінування оновлень.
Рекомендований порядок на iOS та iPadOS
Крім відтермінувань на основі часу організації можуть визначати, чи матимуть користувачі керованих пристроїв iPhone та iPad можливість оновлюватися до новішої основної версії чи й далі працюватимуть на поточній, водночас отримуючи невеликі оновлення, навіть якщо основна версія вже буде доступна.
Наприклад, на iPhone під керуванням iOS 17.6 можна вибрати одну з цих трьох опцій:
Пропонувати користувачам додаткові оновлення для iOS 17.
Пропонувати користувачам лише оновлення до iOS 18.
Дати користувачам вибір: додаткові оновлення для iOS 17 (наприклад, iOS 17.7) або оновлення до iOS 18.
Перша опція доступна лише протягом обмеженого періоду часу й дає змогу користувачам отримувати переваги важливих безпекових оновлень, поки завершується тестування оновлення до основної версії для виробничого середовища.
Разом із відтермінуваннями можна використовувати рекомендований порядок. У наведеному вище прикладі цей підхід можна використати, щоб залишити пристрої на iOS 17, відклавши оновлення ПЗ (як-от iOS 17.7) лише на визначений період часу.
Автоматичне інсталювання оновлень ПЗ
В iOS 18, iPadOS 18 і macOS 14 або новіших організації можуть керувати поведінкою автоматичних оновлень ПЗ на пристроях під наглядом.
Автоматичні оновлення ПЗ (не оновлення системи)
Для викачування та готування автоматичних оновлень ПЗ доступні такі параметри конфігурації:
Дозволити користувачу вмикати автоматичні викачування.
Викачування автоматичних оновлень вимкнуті.
Викачування автоматичних оновлень увімкнуті.
Для інсталювання автоматичних оновлень ПЗ і системи доступні такі параметри конфігурації:
Дозволити користувачу вмикати інсталювання автоматичних оновлень.
Інсталювання автоматичних оновлень вимкнуті.
Інсталювання автоматичних оновлень увімкнуті.
Примітка. Для цієї опції потрібно ввімкнути автоматичні викачування.
Ці опції забезпечують організації можливість точного керування підходом до автоматичних оновлень ПЗ.
У macOS є додатковий параметр із цими трьома опціями конфігурації для безпекових оновлень, зокрема оновлень для XProtect, Gatekeeper і системних файлів. Більше інформації наведено в статті служби підтримки Apple про фонові оновлення в macOS.
Автоматичні швидкі безпекові оновлення
Швидкі безпекові оновлення не підпадають під дію параметрів відтермінування керованих оновлень ПЗ. Оскільки вони застосовуються лише до невеликих оновлень версій операційних систем, відтермінування оновлення призводить також і до відтермінування швидкого безпекового оновлення.
Організації можуть визначити, чи застосовуватимуться швидкі безпекові оновлення автоматично, а також можуть указати, чи зможуть користувачі їх вилучати після застосування.
Авторизація адміністратором на macOS
Організації можуть змінювати типову поведінку щодо вимог до авторизації локальним адміністратором для інсталювання оновлень програмного забезпечення. Наприклад, цим можна користуватися під час розгортання пристроїв для спільного вжитку кількома користувачами, коли потрібно визначити тих, хто зможе здійснювати оновлення.
Примусове оновлення програмного забезпечення
Організації можуть запроваджувати певні оновлення ПЗ у визначений час, незалежно від налаштувань відтермінування чи якщо автоматичне інсталювання швидких безпекових оновлень вимкнуто. Це гарантує використання визначеної версії ПЗ на керованих пристроях до певної дати й часу, а також дає змогу користувачам інсталювати оновлення в зручний для себе час (до дати запровадження).
Дата й час запровадження визначається відносно місцевого часового поясу пристрою. Це дає змогу застосовувати ту саму конфігурацію в різних регіонах. Наприклад, якщо запровадження призначено на 18:00 певного дня, пристрої спробують здійснити оновлення о 18:00 визначеного дня у своєму часовому поясі.
Коли оголошується оновлення ПЗ, користувачам повідомляється кінцевий термін його застосування:
У меню «Параметри» (iOS та iPadOS), а також «Системні параметри» (macOS).
У сповіщенні.
Залежно від залишку часу до запровадження, сповіщення міститиме різні опції (описано нижче). Щоб забезпечити користувачам більшу прозорість та інформувати їх про перебіг, за допомогою посилання «Більше інформації» можна надати їм додаткові відомості про оновлення.
Якщо користувач негайно не почне інсталювання, сповіщення та опції, залежні від залишку часу, ставатимуть усе частішими, поки не настане дата запровадження. Ці сповіщення покликані спонукати користувачів вибрати для себе зручний час інсталювання оновлень. Щоб забезпечити показ цих сповіщень користувачам, функція «Не турбувати» ігноруватиметься протягом 24 годин до запровадження.
Також в iOS 18, iPadOS 18 і macOS 15 організації можуть призначати сповіщення, які відображатимуться лише за 1 годину до терміну запровадження разом зі зворотним відліком до перезапуску. Це допомагає зменшити кількість показуваних на пристроях сповіщень, наприклад, якщо вони не адресовані безпосередньо користувачу (наприклад, розгортання кіоска).
Щоб розпочати та авторизувати оновлення зі сповіщення або меню «Параметри» чи «Системні параметри», система подасть користувачу запит на код допуску чи пароль.
Якщо користувач не інсталював оновлення до дати локального запровадження:
В iOS та iPadOS користувач отримає запит ввести свій код допуску за наявності (якщо цього не було зроблено раніше).
macOS примусово закриває всі відкриті програми (незалежно від того, чи збережено результати роботи) та за потреби перезавантажує систему.
На Mac із процесором Apple використовується токен самозавантаження (якщо доступний), щоб авторизовувати оновлення, або Mac надсилає користувачу запит на облікові дані.
Щоб запровадити інсталювання невеликого оновлення, основної версії чи швидкого безпекового оновлення, пристрій має відповідати тим самим вимогам, що застосовуються до оновлень того ж типу, ініційованих користувачем.
Ключовою перевагою декларативного керування пристроями є їх автономність. Замість запуску окремих дій рішення MDM оголошує бажаний стан і делегує завдання пристрою для досягнення цього стану. Прикладом цієї поведінки є ситуація, коли дата запровадження оновлення ПЗ пропущена через невідповідність пристрою вимогам. Пристрій автоматично виявляє, що декларованого стану не досягнуто й продовжує процес за підʼєднання до інтернету.
Для цього за потреби операційна система викачує оновлення й публікує ще одне сповіщення, повідомляючи користувача про те, що оновлення прострочено й буде виконано спробу здійснити оновлення протягом наступної години. Якщо виконання буде перервано знову з будь-якої причини, процес повториться під час наступного ввімкнення пристрою та підʼєднання до інтернету.
За допомогою звітів про стан, які доступні в декларативному керуванні пристроями, рішення MDM можуть отримувати більше прозорості про статус інсталювання, наприклад, що триває очікування, викачування та готування чи інсталювання оновлення. Також додано змістовні коди помилок на випадок, якщо випуск не вдалося застосувати чи успішно завершити. Зокрема, якщо пристрій був не в мережі, надто низький заряд акумулятора або недостатньо місця.
Оновлення iPadOS на спільному iPad
Оновлення ПЗ на спільних iPad можна ініціювати через бездротове зʼєднання за допомогою рішення MDM, у якому зареєстровано спільний iPad. Якщо пристрій фізично підʼєднано, можна також використовувати Finder чи Apple Configurator на Mac.
Щоб інсталювати оновлення на спільному iPad, користувачі мають вийти із системи, але можуть залишатися кешованими на пристрої. Якщо для інсталювання потрібно більше місця, ніж зараз доступно, потрібно вилучити кешовані дані облікового запису користувача. Через автономність декларативного керування пристроями пристрій намагається інсталювати новий випуск, доки йому це не вдасться.
Щоб мінімізувати перерви в роботі, оновлення спільного iPad слід планувати на неробочий час. Це дозволить зменшити вплив на користувачів і мережу.
Додаткову інформацію дивіться в розділі Оновлення і модернізаціх iPadOS для спільного iPad.