Verwalten von macOS-Softwareupdaterichtlinien in Intune
Sie können Microsoft Intune verwenden, um Softwareupdates für macOS-Geräte zu verwalten, die als überwachte Geräte registriert sind.
Diese Funktion gilt für:
macOS 12 und höher (überwacht)
Hinweis
Vor macOS 12.5 können Geräte zusätzliche Updates herunterladen und installieren, bevor sie das neueste Update installieren.
Tipp
Sie können den Intune Einstellungskatalog verwenden, um deklarative Softwareupdates zu verwalten. Die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) bietet eine verbesserte Benutzerfreundlichkeit, da das Gerät den gesamten Softwareupdatelebenszyklus verarbeitet. Weitere Informationen findest du unter Verwalten von Softwareupdates mit dem Einstellungskatalog.
Mit Richtlinien für macOS-Softwareupdates haben Sie folgende Möglichkeiten:
Remoteverwaltung, wie Downloads, Installationen und Benachrichtigungen erfolgen sollen, wenn die folgenden Arten von Updates für macOS verfügbar sind:
- Wichtiges Update
- Firmwareupdate
- Update der Konfigurationsdatei
- Alle anderen Updates (Betriebssystem, integrierte Apps)
Sie können einen Zeitplan angeben, der festlegt, wann das Update installiert wird. Zeitpläne können so einfach sein wie das Installieren von Updates beim nächsten Einchecken des Geräts oder das Erstellen von Tageszeitbereichen, in denen Updates installiert werden können oder blockiert werden.
Das Gerät wird standardmäßig etwa alle acht Stunden bei Intune eingecheckt. Wenn ein Update über eine Updaterichtlinie verfügbar ist, wird das Update vom Gerät heruntergeladen. Das Gerät installiert dann das Update beim nächsten Einchecken innerhalb Ihrer Zeitplankonfiguration.
Konfigurieren der Richtlinie
Melden Sie sich beim Microsoft Intune Admin Center an.
Tipp
Weitere Informationen zum Verwalten von Softwareupdates und zur Updateerfahrung auf Geräten finden Sie unter Verwalten von Softwareupdates für Apple-Geräte – Apple Support auf der Plattformbereitstellungswebsite von Apple.
Wählen Sie Geräte>Updaterichtlinien für macOS>Profil erstellen aus.
Geben Sie auf der Registerkarte Allgemeine Informationen einen Namen und eine Beschreibung (optional) für diese Richtlinie an, und klicken Sie dann auf Weiter.
Konfigurieren Sie auf der Registerkarte Updaterichtlinieneinstellungen folgende Optionen:
Für Kritisch, Firmware, Konfigurationsdatei und Alle anderen Updates (Betriebssystem, integrierte Apps) können die folgenden Installationsaktionen konfiguriert werden:
Herunterladen und Installieren: Laden Sie das Update herunter, oder installieren Sie es, je nach aktuellem Status.
Nur herunterladen: Laden Sie das Softwareupdate herunter, ohne es zu installieren.
Sofort installieren: Laden Sie das Softwareupdate herunter, und lösen Sie die Neustart-Countdown-Benachrichtigung aus. Diese Aktion wird für benutzerlose Geräte empfohlen.
Nur benachrichtigen: Laden Sie das Softwareupdate herunter, und benachrichtigen Sie den Benutzer über die Systemeinstellungen.
Später installieren: Laden Sie das Softwareupdate herunter, und installieren Sie es später. Diese Aktion ist für größere Betriebssystemupgrades nicht verfügbar.
Wenn Sie Später installieren für *Alle anderen Updates (Betriebssystem, integrierte Apps) konfigurieren, sind auch die folgenden Einstellungen verfügbar:
Maximale Anzahl von Benutzerverzögerungen:
Wenn der Updatetyp Alle anderen Updates auf Später installieren konfiguriert ist, können Sie mit dieser Einstellung angeben, wie oft ein Benutzer ein kleineres Betriebssystemupdate vor der Installation verschieben kann. Das System fordert den Benutzer einmal täglich auf. Verfügbar für Geräte mit macOS 12 und höher.Priorität: Wenn der Updatetyp Alle anderen Updates auf Später installieren konfiguriert ist, geben Sie niedrige oder hohe Werte für die Planungspriorität für das Herunterladen & Vorbereiten kleinerer Betriebssystemupdates an. Verfügbar für Geräte mit macOS 12.3 und höher.
Nicht konfiguriert: Für das Softwareupdate wird keine Aktion ausgeführt.
Hinweis
Geräte mit Apple Silicon erfordern ein VON MDM ausgestelltes Bootstraptoken, um automatisierte, nicht interaktive Updates und Upgrades zu authentifizieren.
Zeitplantyp: Konfigurieren Sie den Zeitplan für diese Richtlinie:
Update beim nächsten Einchecken: Das Update wird beim nächsten Einchecken auf dem Gerät mit Intune installiert. Diese Option ist am einfachsten und verfügt über keine zusätzlichen Konfigurationen.
Während der geplanten Zeit aktualisieren: Sie konfigurieren ein oder mehrere Zeitfenster. Während dieser Fenster wird das Update beim Einchecken installiert.
Aktualisieren außerhalb der geplanten Zeit: Sie konfigurieren ein oder mehrere Zeitfenster. Während dieser Fenster werden Updates beim Einchecken nicht installiert.
Wöchentlicher Zeitplan: Konfigurieren Sie die folgenden Optionen, wenn Sie nicht den Zeitplantyp Update beim nächsten Einchecken aktualisieren auswählen:
Zeitzone: Wählen Sie eine Zeitzone aus.
Zeitfenster: Definieren Sie mindestens einen Zeitblock, der einschränkt, wann die Updates installiert werden. Es hängt vom ausgewählten Zeitplantyp ab, welche Auswirkung die folgenden Optionen haben. Mit einem Starttag und Endtag werden Zeitblöcke zu Nachtzeiten unterstützt. Die folgenden Optionen stehen zur Verfügung:
Starttag: Wählen Sie den Tag aus, an dem das Zeitplanfenster beginnt.
Startzeit: Wählen Sie die Zeit aus, zu der das Zeitplanfenster beginnt. Beispielsweise wählen Sie 5:00 Uhr aus und verfügen über den Zeitplantyp Update während der geplanten Zeit. In diesem Szenario ist 5:00 Uhr der Zeitpunkt, zu dem Updates installiert werden können. Wenn Sie den Zeitplantyp Update außerhalb eines geplanten Zeitraums ausgewählt haben, ist 5:00 Uhr der Beginn eines Zeitraums, in dem Updates nicht installiert werden können.
Endtag: Wählen Sie den Tag aus, an dem das Zeitplanfenster endet.
Endzeit: Wählen Sie die Tageszeit aus, zu der das Zeitplanfenster endet. Wählen Sie z. B. 1:00 Uhr aus und verfügen über den Zeitplantyp Update zur geplanten Zeit. In diesem Szenario ist 1:00 Uhr der Zeitpunkt, zu dem Updates nicht mehr installiert werden können. Wenn Sie den Zeitplantyp Update außerhalb eines geplanten Zeitraums ausgewählt haben, ist 1:00 Uhr der Beginn eines Zeitraums, in dem Updates installiert werden können.
Wenn Sie keine Start- oder Endzeiten konfigurieren, führt die Konfiguration zu keiner Einschränkung, und Updates können jederzeit installiert werden.
Tipp
Sie können eine Einstellungskatalogrichtlinie bereitstellen, um ein Update für Gerätebenutzer für einen bestimmten Zeitraum auf Ihren überwachten macOS-Geräten auszublenden. Weitere Informationen finden Sie im folgenden Abschnitt Verzögerte Sichtbarkeit von Updates.
Nachdem Sie die Updaterichtlinieneinstellungen konfiguriert haben, klicken Sie auf Weiter.
Klicken Sie auf der Registerkarte Bereichstags auf + Bereichstags auswählen, um den Bereich Tags auswählen zu öffnen, wenn Sie sie auf die Updaterichtlinie anwenden möchten.
Wählen Sie im Bereich Tags auswählen mindestens einen Tag aus, und dann Auswählen, um sie zur Richtlinie hinzuzufügen und zum Bereich Bereichstags zurückzukehren.
Klicken Sie auf Weiter, um mit Zuweisungen fortzufahren, wenn Sie bereit sind.
Klicken Sie auf der Registerkarte Zuweisungen auf + Einzuschließende Gruppen auswählen, und weisen Sie dann die Richtlinie mindestens einer Gruppe zu. Klicken Sie auf + Auszuschließende Gruppen auswählen, um die Zuweisung anzupassen. Klicken Sie auf Weiter, um fortzufahren.
Die von den Benutzern verwendeten Geräte, für die die Richtlinie gilt, werden auf Updatekompatibilität überprüft. Diese Richtlinie unterstützt ebenfalls Geräte ohne Benutzer.
Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus, wenn Sie bereit sind, um Ihre macOS-Updaterichtlinie zu speichern. Ihre neue Richtlinie wird in der Liste der Updaterichtlinien für macOS angezeigt.
Hinweis
Die Mobilgeräteverwaltung von Apple lässt nicht zu, dass das Installieren von Updates auf einem Gerät an einem bestimmten Datum oder zu einer bestimmten Uhrzeit erzwungen wird. Sie können keine Intune-Richtlinien für Softwareupdates verwenden, um die Betriebssystemversion auf einem Gerät herabzusetzen.
Verzögerte Sichtbarkeit von Updates
Wenn Sie Updaterichtlinien für macOS verwenden, können Sie Updates für Benutzer von überwachten macOS-Geräten für einen bestimmten Zeitraum ausblenden. Verwenden Sie für diese Aufgabe eine Einstellungskatalogrichtlinie für macOS-Geräte, die Updateeinschränkungszeiträume konfiguriert.
Ein Einschränkungszeitraum kann Ihnen Zeit geben, ein Update zu testen, bevor es Benutzern zur Installation zur Verfügung gestellt wird. Nach Dem Ende des Einschränkungszeitraums wird das Update für Benutzer sichtbar, und sie können es installieren, wenn es von Ihren Updaterichtlinien nicht zuerst installiert wird.
Wenn Sie Geräteeinschränkungen verwenden, um ein Update auszublenden, überprüfen Sie Ihre Softwareupdaterichtlinien, um sicherzustellen, dass die Installation dieses Updates nicht vor Ablauf des Einschränkungszeitraums geplant wird. Softwareupdaterichtlinien installieren Updates nach ihrem Zeitplan, unabhängig davon, ob das Update ausgeblendet oder für den Gerätebenutzer sichtbar ist.
Die Einstellungen, die die Sichtbarkeit von Updates auf macOS-Geräten einschränken können, befinden sich in der Einstellungskatalogkategorie>Einschränkungen . Einige Beispiele für Einstellungen, die Sie zum Zurückstellen eines Updates verwenden können, sind:
- Erzwungene Verzögerung für Softwareupdate
- Erzwungene Softwareaktualisierung Verzögerung bei verzögerter Installation des Hauptbetriebssystems
- Erzwungene Verzögerte Installation von Softwareupdates ohne Betriebssystem
Sie finden die zugehörigen Einstellungen auch unter der Kategorie System Updates>Softwareupdate, um zu verwalten, wie Benutzer manuell über ihre Systemoberfläche mit Updates interagieren. Updates aus einer gezielten Updaterichtlinie überschreiben jedoch diese Einstellungen für Katalogrichtlinieneinstellungen.
Bearbeiten einer Richtlinie
Sie können eine vorhandene Richtlinie bearbeiten und die eingeschränkten Zeiten ändern:
Wählen Sie Geräte>Updaterichtlinien für macOS aus. Wählen Sie die Richtlinie aus, die Sie bearbeiten möchten.
Während Sie die Eigenschaften der Richtlinien anzeigen, können Sie bei der Richtlinienseite auf Bearbeiten klicken, die Sie ändern möchten.
Nachdem Sie eine Änderung eingeführt haben, wählen Sie Überprüfen + speichern>Speichern aus, um Ihre Änderungen zu speichern.
Hinweis
Wenn die Startzeit und die Endzeit auf 00:00 Uhr festgelegt sind, prüft Intune nicht nach Einschränkungen zur Installation von Updates. D. h., dass alle Konfigurationen, die Sie für die Einstellung Zeiten auswählen, zu denen Updateinstallationen verhindert werden sollen festgelegt haben, ignoriert werden und jederzeit Updates installiert werden können.
Konfigurieren weiterer MacOS-Softwareupdateeinstellungen mithilfe des Einstellungskatalogs
Die Kategorie Einschränkungen enthält die folgenden Einstellungen, die verwendet werden können, um die Sichtbarkeit von macOS-Softwareupdates auf Geräten zu verzögern (Geräte>nach Plattform>macOS>Verwalten von Geräten>Konfiguration>Neue Richtlinie>erstellen>Einstellungskatalog>Einschränkungen):
Erzwungene Softwareupdateverzögerung: Legt fest, wie viele Tage ein Softwareupdate auf dem Gerät verzögert werden soll. Wenn diese Einschränkung besteht, wird dem Benutzer erst nach der angegebenen Anzahl von Tagen nach dem Veröffentlichungsdatum des Softwareupdates ein Softwareupdate angezeigt. Dieser Wert wird von "Verzögerte App-Software Updates erzwingen" und "Verzögerte Software Updates erzwingen" verwendet.
Verzögerte App-Software-Updates erzwingen: Wenn true, verzögert die Benutzersichtbarkeit von Nicht-Betriebssystemsoftware Updates für integrierte Software wie Safari, XProtect und Gatekeeper. Erfordert ein überwachtes Gerät. Die Verzögerung beträgt 30 Tage, es sei denn , erzwungene Softwareupdateverzögerung ist auf einen anderen Wert festgelegt.
Erzwungene Softwareupdates nicht verzögerte Installationsverzögerung: Diese Einschränkung ermöglicht es dem Administrator, festzulegen, wie viele Tage ein App-Softwareupdate auf dem Gerät verzögert werden soll. Wenn diese Einschränkung besteht, wird dem Benutzer erst nach der angegebenen Verzögerung nach der Veröffentlichung der Software ein Nicht-Betriebssystem-Softwareupdate angezeigt. Dieser Wert steuert die Verzögerung für verzögerte App-Software-Updates erzwingen.
Verzögerte Hauptsoftware-Updates erzwingen: Wenn diese Einstellung auf true festgelegt ist, verzögert die Benutzersichtbarkeit wichtiger Upgrades von Betriebssystemsoftware.
Erzwungene Softwareupdates hauptbetriebssystem verzögerte Installation: Diese Einschränkung ermöglicht es dem Administrator, festzulegen, wie viele Tage ein größeres Softwareupgrade auf dem Gerät verzögert werden soll. Wichtige Softwareupgrades sind neue Hauptversionen von Betriebssystemen; beispielsweise macOS 12 Monterrey und macOS 13 Ventura. Wenn diese Einschränkung besteht, wird dem Benutzer ein Softwareupgrade erst nach der angegebenen Verzögerung nach der Veröffentlichung des Softwareupgrades angezeigt. Dieser Wert steuert die Verzögerung für verzögerte Hauptsoftware-Updates erzwingen.
Verzögerte Software-Updates erzwingen: Wenn true, wird die Sichtbarkeit von Softwareupdates durch den Benutzer verzögert. In macOS sind Seedbuildupdates ohne Verzögerung zulässig. Die Verzögerung beträgt 30 Tage, es sei denn , erzwungene Softwareupdateverzögerung ist auf einen anderen Wert festgelegt.
Erzwungene Softwareupdates Bei verzögerter Installation des Betriebssystems: Diese Einschränkung ermöglicht es dem Administrator, festzulegen, wie viele Tage ein kleineres Betriebssystemsoftwareupdate auf den Geräten verzögert werden soll. Kleinere Softwareupdates sind Zwischenupdates, die zwischen wichtigen Betriebssystemupgrades veröffentlicht werden. beispielsweise macOS 13.1 und macOS 13.2. Wenn diese Einschränkung besteht, wird dem Benutzer ein Softwareupdate erst nach der angegebenen Verzögerung nach der Veröffentlichung des Softwareupdates angezeigt. Dieser Wert steuert die Verzögerung für verzögerte Software erzwingen Updates.
Die Kategorie Softwareupdate enthält die folgenden Einstellungen, die zum Konfigurieren der Benutzeroberfläche für macOS-Softwareupdateoptionen auf Geräten verwendet werden können (Geräte>nach Plattform>macOS>Geräte> verwaltenKonfiguration>Neue Richtlinie>erstellen>Einstellungskatalog>System Updates>Softwareupdate):
Vorabinstallation zulassen: Wenn true, kann Vorabversionssoftware auf diesem Computer installiert werden.
Automatische Überprüfung aktiviert: Wenn false, deaktiviert die Option "Nach Updates suchen" und verhindert, dass der Benutzer die Option ändert.
Automatischer Download: Wenn false, deaktiviert die Option "Neue Updates herunterladen, wenn verfügbar aus dem App Store" und verhindert, dass der Benutzer die Option ändert.
App-Updates automatisch installieren: Wenn false, deaktiviert die Option "App-Updates aus dem App Store installieren" und verhindert, dass der Benutzer die Option ändert.
MacOS-Updates automatisch installieren: Wenn false, schränkt die Option "macOS Updates installieren" ein und verhindert, dass der Benutzer die Option ändert.
Installation von Konfigurationsdaten: Wenn false, schränkt die automatische Installation von Konfigurationsdaten ein.
Installation kritischer Updates: Wenn false, deaktiviert die automatische Installation kritischer Updates und verhindert, dass der Benutzer die Option "Systemdatendateien und Sicherheitsupdates installieren" ändert.
Softwareupdate einschränken Admin zu installieren erforderlich: Wenn true, beschränken Sie App-Installationen auf Administratorbenutzer. Dieser Schlüssel hat dieselbe Funktion wie die Einstellung Store Require Admin To Install in der Kategorie App Store.
Überwachen auf Updateinstallationsfehler auf Geräten
Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Überwachen>Installation status für macOS-Geräte.
Intune zeigt eine Liste der überwachten macOS-Geräte an, für die eine Updaterichtlinie gilt. Die Liste enthält keine Geräte, die aktuell und fehlerfrei sind, da macOS-Geräte nur Informationen zu Installationsfehlern zurückgeben.
Für jedes Gerät in der Liste zeigt der Installationsstatus den Fehler an, den das Gerät zurückgibt. Um die Liste der möglichen Installations- status Werte anzuzeigen, wählen Sie auf der Seite Installation status für macOS-Gerätedie Option Filter aus, und erweitern Sie dann die Dropdownliste für Installationsstatus.