使用 MDM 将软件更新部署到 Apple 设备
管理软件更新和升级包括测试预发布的更新和升级、将其部署到用户的设备,以及实施策略以将用户设备强制保持最新。有关更多信息,请参阅 WWDC21 视频:管理组织中的软件更新以及 WWDC23 视频:探索声明式设备管理中的高级功能。
MDM 软件更新和升级命令
下面列出了 MDM 软件更新和升级命令。这些命令不允许自定义面向用户的通知。
【注】在 macOS 13 或更高版本中,Mac 会识别并响应 ScheduleOSUpdateScan
、ScheduleOSUpdate
、OSUpdateStatus
和 AvailableOSUpdate
命令,即使设备处于睡眠状态或电能小憩模式也不影响。
命令 | 支持的操作系统 | 被监督 | 描述 | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
计划更新扫描 | macOS | 是 | 请求设备执行后台扫描以查找操作系统更新。 有关更多信息,请参阅 Apple 开发者网站上的计划操作系统更新扫描。 | ||||||||
列出可用更新 | iOS iPadOS macOS Apple tvOS | 是(iOS、iPadOS、Apple tvOS) 否 (macOS) | 查询设备以获取可用操作系统更新列表。在 macOS 中,必须执行 有关更多信息,请参阅 Apple 开发者网站上的列出可用操作系统更新。 | ||||||||
计划更新 | iOS iPadOS macOS Apple tvOS | 是 | 允许服务器计划操作系统更新并设定更新的优先级。 有关更多信息,请参阅 Apple 开发者网站上的计划操作系统更新。 | ||||||||
更新状态 | iOS iPadOS macOS Apple tvOS | 是 | 查询设备以获取软件更新状态。 有关更多信息,请参阅 Apple 开发者网站上的获取操作系统更新状态。 |
Apple 软件查询服务
你可以使用 Apple 软件查询服务获取可用更新的列表。
iOS 15、iPadOS 15 和 macOS 12.0.1 或更高版本可让 MDM 解决方案在更新发布后及时准确地计算更新的适用性。MDM 解决方案会在服务中查询可用更新的准确列表,然后在发送 ScheduleOSUpdate
命令时指定一个特定的版本。设备无需运行 AvailableOSUpdate
命令来为要计划的更新查询可用更新内容。
JSON 响应包含可用软件发布版本的三个列表:
PublicAssetSets:此列表包含向尝试更新或升级的大众(未受监督设备)提供的最新发布版本。
AssetSets:此列表(PublicAssetSets 的子集)包含 MDM 解决方案可向受监督设备推送的所有发布版本。
PublicRapidSecurityResponses:这个列表包含 Apple 设备当前可用的快速安全响应发布版本。有关快速安全响应发布版本的更多信息,请参阅快速安全响应。
列表中的每个元素都包含操作系统的产品版本号、发布日期、过期日期以及该发布版本支持的设备列表。设备列表会匹配来自设备的 ProductName
值,该值会在初始 Authenticate 请求或 DeviceInformation
响应中返回。
过期日期通常设为自发布日期起 180 天之后。后续版本发布后,先前版本的过期日期可能会更新。如果未提供过期日期,说明该版本尚未过期。仅当发布版本的过期日期已过去时,版本才过期。
资源按操作系统平台分组。当前所有资源都位于 iOS 下,包括 Apple tvOS 和 watchOS。使用产品版本列表来确定哪些版本高于设备的当前操作系统版本。请将该版本列表作为可能的操作系统更新候选项提供给管理员。
以下是响应示例:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
软件发布日期
下表显示了发布日期、发布对用户可见的日期(推迟 90 天),以及 Apple 不再提供该下载的日期。
macOS | iOS、iPadOS、Apple tvOS | Apple 发布时间 | 被 MDM 隐藏直至 | Apple 不再提供下载 |
---|---|---|---|---|
17 | 2023/09/18 | 2023/12/17 | 2023/12/17 | |
13.6 | 17.0.1 (iOS、iPadOS) | 2023/09/21 | 2023/12/20 | 2023/12/20 |
17.0.2 iPhone 15(所有机型) | 2023/09/21 | 2023/12/20 | 2023/12/20 | |
14 | 17.0.2 (iOS、iPadOS) | 2023/09/26 | 2023/12/25 | 2023/12/25 |
17.0.2 (iOS、iPadOS) | 2023/10/04 | 2024/01/02 | 2024/01/02 | |
14.1 | 17.1 | 2023/10/25 | 2024/01/23 | 2024/01/23 |
14.1.1 | 17.1.1 | 2023/11/07 | 2024/02/11 | 2024/02/11 |
14.1.2 | 17.1.2 (iOS、iPadOS) | 2023/11/30 | 2024/02/28 | 2024/02/28 |
14.2 | 17.2 | 2023/12/11 | 2024/03/10 | 2024/03/10 |
14.2.1 | 17.2.1 (iOS、iPadOS) | 2023/12/19 | 2024/03/18 | 2024/03/18 |
14.3 | 17.3 | 2024/01/22 | 2024/04/21 | 2024/04/21 |
14.3.1 | 17.3.1 (iOS、iPadOS) | 2024/02/08 | 2024/5/8 | 2024/5/8 |
17.4 (iOS、iPadOS) | 2024/03/05 | 2024/06/03 | 2024/06/03 | |
14.4 | 17.4 (Apple tvOS) | 2024/03/07 | 2024/06/05 | 2024/06/05 |
安装软件更新和升级
为帮助确保只安装 Apple 签名的代码,Apple 软件更新和升级过程会使用与安全启动所用相同的基于硬件的信任根。Apple 系统软件授权过程可确保只能将 Apple 主动签名的操作系统版本的副本安装在 iPhone、iPad,以及“启动安全性实用工具”中安全启动策略配置为“完整安全性”设置的 Mac 上。此过程可让 Apple 停止为存在已知漏洞的较旧版本操作系统签名,从而帮助阻止降级攻击。
【注】macOS 12.0.1 或更高版本中的所有安装操作都支持使用 Bootstrap 令牌在搭载 Apple 芯片的 Mac 电脑上进行认证。
更新和升级安装操作包括:
操作 | 支持的最低操作系统版本 | 描述 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 Apple tvOS 12 | 在 iOS、iPadOS 和 Apple tvOS 中,安装之前已下载的软件更新或升级。 在 macOS 中,下载软件更新或升级并触发重新启动倒计时通知。 | |||||||||
默认 | iOS 9 iPadOS 13.1 macOS 10.11 Apple tvOS 12 | 下载或安装更新或升级,具体取决于当前状态。MDM 管理员可以检查 | |||||||||
InstallForce 重新启动 | macOS 11 | 执行默认操作,然后在更新要求时强制重新启动。升级始终需要重新启动。 【重要事项】 | |||||||||
InstallLater | macOS 10.11 | 下载软件更新或升级并于稍后安装。 | |||||||||
NotifyOnly | macOS 10.11 | 下载软件更新或升级并通知用户。 | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 Apple tvOS 12 | 下载软件更新或升级但不安装。 |
管理 iOS 及 iPadOS 软件更新和升级
在 iOS 和 iPadOS 中,更新和升级会作为标准通知过程的一部分以及在“设置” App 中提供给用户。若要发起更新或升级,用户可能需要同意已更新的条款与条件。如果设备没有密码,你可以使用你的 MDM 解决方案远程完成安装。
如果设备有密码,MDM 向设备发送更新或升级后,设备会将更新或升级排队,系统会提醒用户输入密码以便立即开始安装或推迟到夜间安装。
当你发送安装软件更新命令时,设备会提示用户进行更新或升级并根据组织要求提供描述。MDM 发送的所有更新或升级都被视为必须,且仅能由用户最多推迟三次。用户第三次推迟后,设备会要求用户计划于当晚更新或升级后才能继续使用设备(紧急呼叫除外)。
推荐版本
你可以升级至 iOS 17 或 iPadOS 17(新版主要操作系统)。或者你还可以继续更新到更高的 iOS 16 和 iPadOS 16.1 次要版本,即使 iOS 16 和 iPadOS 16.1 已发布也无妨。
例如,在使用 iOS 16.6.1 的 iPhone 上,你可以从两个选项中选取一个:
继续允许用户停留在 iOS 16.6.1(前一代主要操作系统)并仍然获取更新(例如 iOS 16.7)。
允许用户升级至 iOS 17(新一代主要操作系统)。
在你致力于批准将最新主要发布版本用于你的生产环境时,这可让用户仍从重要的安全性更新中收益。
MDM 供应商可以管理已在 MDM 中注册的设备的这一功能。带有 SoftwareUpdateSettings
词典的新 Settings
命令包含一个有三个值的键 (RecommendationCadence
):
0:同时显示两个选项(默认)。
1:显示较低版本号的软件更新(如有)。
2:显示较高主要版本号的操作系统升级的更新路径。
你可以使用 MDM 来强制执行此选项,以便继续使用上一个更新(例如 iOS 16.7)。此选项在升级后的一段时间内提供。
更新和升级“共享 iPad”
为了尽可能缩短停用时间,最好是在空闲时间更新和升级 iPadOS 和 App,以尽量减小对用户和网络的影响。有关更多信息,请参阅更新和升级“共享 iPad”的 iPadOS。
使用蜂窝数据更新和升级
软件更新在“设置”中自动显示后,MDM 可使用蜂窝数据连接安装更新和升级。
管理 macOS 软件更新和升级
macOS 11 引入了多项更改,以使更新和升级过程与 iOS 和 iPadOS 类似。更新和升级时,即使是在重新启动之前,更新程序也会对操作系统做出更改。此方法可显著减少这一过程中 Mac 的停用时间。macOS 的后续版本新增了更多增强功能。其他优化在下表中列出。
【注】在搭载 Apple 芯片的设备上,用户必须是宗卷所有者才能执行软件升级。
最低操作系统版本 | 增强功能 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | 管理员可以控制下载和准备所需更新的计划优先级。在 升级至 macOS 13 或更高版本可充分利用以下增强功能:
| ||||||||||
macOS 13 | Mac 会识别并响应 |
你可以在 Mac 电脑上安装配置描述文件以启用以下自动选项:
后台检查 macOS 软件更新和升级
下载并安装 XProtect 和“门禁”更新
下载并安装自动安全性更新
下载 macOS 软件更新和升级
安装 macOS 更新和升级
Mac 大约每 6 小时检查一次更新和升级,并且如果 Mac 符合标准(例如,Mac 上只有少量的进程正在运行,且接入了电源或达到以下列出的最低电池电量百分比),将计划自动安装更新或升级(即使 Mac 笔记本电脑机盖已合上)。只有在下载和准备好更新或升级后,系统才会显示通知提示用户安装。
强制更新或升级软件
若要为组织的管理员提供对更新过程的更多控制,请使用声明式设备管理。此过程为用户提供了信息更丰富的体验,还确保了 iOS、iPadOS 和 macOS 及时更新。强制执行的操作系统版本在 TargetOSVersion
键中可见。可选的 TargetBuildVersion
键针对特定 Seed 版号或快速安全响应。
当你声明软件更新时,你的用户会通过通知得知其截止日期。他们还会在“设置”(iOS 和 iPadOS)和“系统设置” (macOS) 中收到通知。你可以在“更多信息”链接中提供更新相关的更多信息。
通知提供立即安装或当晚晚些时候安装的选项。如果用户没有立即触发更新,则操作系统会每天发布通知“有更新可用”直至截止日期;截止日期前 24 小时内,此通知每小时显示一次并会绕过勿扰模式。截止日期前 1 小时内,此通知每 30 分钟显示一次,然后每 10 分钟显示一次。这可让用户选择最合适的时间来执行更新。
如果用户在本地强制执行日期之前尚未安装更新:
如果设定了密码,iOS 和 iPadOS 会强制用户输入其密码(除非之前已提供)。
macOS 会强制退出打开的 App 并执行重新启动(如果需要)。
如果由于设备关机或离线而错过了截止日期,当设备重新在线时,操作系统会发布另一个通知以告知用户更新已过期,并将在一小时内尝试更新。
通过声明式状态报告,MDM 解决方案还可以获取更高透明度的更新状态,例如正在等待、下载和准备或者安装更新。还添加了有意义的错误代码,以防无法执行或完成更新。部分示例包括如果设备离线、如果电池电量太低或者如果可用空间不足。
【注】软件更新声明以及 MDM 命令和描述文件可以共存;但是,由声明强制执行的软件更新将始终优先于 MDM 命令和描述文件。
强制更新或升级 macOS 软件
若要强制退出 App 以进行软件更新或升级,请使用 InstallForceRestart
操作。即使文稿未存储,Mac 上的所有 App 也会退出。更新或升级需要 Mac 接入电源或者达到最低电池电量百分比。