Intune で macOS ソフトウェア更新プログラム ポリシーを管理する
Microsoft Intune を使用して、 監視対象デバイスとして登録されている macOS デバイスのソフトウェア更新プログラムを管理できます。
この機能は、以下に適用されます。
macOS 12 以降 (監視対象)
注:
macOS 12.5 リリースより前には、最新の更新プログラムをインストールする前に、デバイスが追加の更新プログラムをダウンロードしてインストールする場合があります。
ヒント
Intune 設定カタログを使用して、宣言型ソフトウェア更新プログラムを管理できます。 宣言型デバイス管理 (DDM) は、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理する際のユーザー エクスペリエンスを向上させます。 詳細については、「 設定カタログを使用してソフトウェア更新プログラムを管理する」を参照してください。
macOS ソフトウェア更新プログラムのポリシーを使用すると、次のことができます。
macOS で次の種類の更新プログラムを利用できる場合に、ダウンロード、インストール、および通知の実行方法をリモートで管理します。
- 重要な更新プログラム
- ファームウェアの更新
- 構成ファイルの更新
- その他のすべての更新プログラム (OS、組み込みアプリ)
更新プログラムをインストールするタイミングを決定するスケジュールを指定できます。 スケジュールは、次回デバイスがチェックインまたは日中の範囲を作成するときに更新プログラムをインストールするのと同じくらい簡単で、更新プログラムをインストールしたり、インストールをブロックしたりできます。
既定では、デバイスは 8 時間ごとに Intune にチェックインします。 更新ポリシーを介して更新プログラムが利用可能になると、デバイスにより、更新プログラムがダウンロードされます。 その後、スケジュール構成内で次にチェックインしたときに、デバイスにより、更新プログラムがインストールされます。
ポリシーを構成する
Microsoft Intune 管理センターにサインインします。
ヒント
デバイスでのソフトウェア更新プログラムの管理と更新エクスペリエンスの詳細については、「 Apple デバイスのソフトウェア更新プログラムの管理 - Apple の プラットフォーム展開サイトでの Apple サポート」を参照してください。
[デバイス>macOS のポリシーを更新する>プロファイルを作成する] を選択します。
[基本] タブで、このポリシーの名前を指定し、説明 (省略可能) を指定して、[次へ] を選択します。
[ポリシー設定の更新] タブで、次のオプションを構成します。
Critical、Firmware、Configuration file、およびその他のすべての更新プログラム (OS、組み込みアプリ) の場合、次のインストール アクションを構成できます。
ダウンロードとインストール: 現在の状態に応じて、更新プログラムをダウンロードまたはインストールします。
ダウンロードのみ: ソフトウェア更新プログラムをインストールせずにダウンロードします。
直ちにインストールする: ソフトウェア更新プログラムをダウンロードし、再起動カウントダウン通知をトリガーします。 このアクションは、ユーザーレス デバイスに推奨されます。
通知のみ: ソフトウェア更新プログラムをダウンロードし、システム設定を使用してユーザーに通知します。
後でインストールする: ソフトウェア更新プログラムをダウンロードし、後でインストールします。 このアクションは、主要な OS のアップグレードには使用できません。
*他のすべての更新プログラム (OS、組み込みアプリ) に対して 後でインストール を構成する場合は、次の設定も使用できます。
最大ユーザー遅延:
[他のすべての更新プログラムの更新プログラムの種類] が [後でインストール] に構成されている場合、この設定を使用すると、ユーザーがマイナー OS 更新プログラムをインストール前に延期できる最大回数を指定できます。 1 日に 1 回、ユーザーにメッセージが表示されます。 macOS 12 以降を実行しているデバイスで使用できます。優先度: 他のすべての更新プログラム の更新の種類が 後でインストールするように構成されている場合は、マイナー OS 更新プログラムを準備 & ダウンロードするスケジュールの優先順位に 低 または 高 の値を指定します。 macOS 12.3 以降を実行しているデバイスで使用できます。
[未構成]: ソフトウェア更新プログラムに対してアクションは実行されません。
注:
Apple Silicon を使用するデバイスでは、自動化された非対話型の更新とアップグレードを認証するために、MDM で発行されたブートストラップ トークンが必要です。
スケジュールの種類: このポリシーのスケジュールを構成します。
次のチェックイン時に更新する: 更新プログラムは、次に Intune にチェックインしたときにデバイスにインストールされます。 これは、最も単純なオプションで、追加の構成はありません。
スケジュールされた時間内の更新: 1 つ以上の時間枠を構成します。 これらのウィンドウでは、チェックイン時に更新プログラムがインストールされます。
スケジュールされた時間外の更新: 1 つ以上の時間枠を構成します。 これらのウィンドウでは、チェックイン時に更新プログラムがインストールされません。
ウィークリー スケジュール: 次のチェックイン時に更新以外のスケジュールの種類を選択する場合は、次のオプションを構成します。
タイム ゾーン: 時間帯を選択します。
時間枠: 更新プログラムをインストールする日時を制限する 1 つ以上の時間枠を定義します。 次のオプションの効果は、選択したスケジュールの種類によって異なります。 開始日と終了日を使用することで、夜間の時間枠がサポートされます。 オプションは以下のとおりです。
開始日: スケジュール期間の開始日を選択します。
開始時刻: スケジュール期間の開始時刻を選択します。 たとえば、午前 5 時を選択し、 スケジュールされた時間に更新プログラムの種類をスケジュールします。 このシナリオでは、更新プログラムのインストールを開始できる時間は午前 5 時です。 スケジュールされた 時間外に [更新プログラムのスケジュールの種類] を選択した場合、更新プログラムをインストールできない期間の開始時刻は午前 5 時です。
終了日: スケジュール期間の終了日を選択します。
終了時刻: スケジュール期間の終了時刻を選択します。 たとえば、午前 1 時を選択し、 スケジュールされた時間に更新プログラムの種類をスケジュールします。 このシナリオでは、午前 1 時は更新プログラムがインストールできなくなった時刻です。 スケジュールされた時間外に [更新プログラムのスケジュールの種類] を選択した場合、更新プログラムをインストールできる期間の開始時刻は午前 1 時です。
開始時刻または終了時刻を構成しない場合、構成によって制限が発生せず、更新プログラムをいつでもインストールできます。
ヒント
監視対象の macOS デバイスで一定期間、デバイス ユーザーから更新プログラムを非表示にする設定カタログ ポリシーを展開できます。 詳細については、次のセクション「 更新プログラムの可視性を遅延する」を参照してください。
[更新ポリシー設定] を構成したら、[次へ] を選択します。
更新ポリシーにスコープ タグを適用する場合は、[スコープ タグ] タブで [+ スコープ タグを選択] を選択して、[タグを選択する] ウィンドウを開きます。
[タグを選択する] ウィンドウで、1 つまたは複数のタグを選択してから、[選択] してそれらのタグをポリシーに追加し、[スコープ タグ] ウィンドウに戻ります。
準備ができたら、[次へ] を選択して、[割り当て] を続行します。
[割り当て] タブで [+ 含めるグループを選択] を選択してから、1 つまたは複数のグループに更新ポリシーを割り当てます。 [+ 除外するグループを選択] を使用して割り当てを微調整します。 準備ができたら、[次へ] を選択して続行します。
ポリシーの対象となっているユーザーが使用しているデバイスは、Update Compliance で評価されます。 このポリシーでは、ユーザーレス デバイスもサポートされます。
[ 確認と作成 ] タブで設定を確認し、macOS 更新ポリシーを保存する準備ができたら [作成 ] を選択します。 macOS の更新ポリシーの一覧に新しいポリシーが表示されます。
注:
Apple MDM では、デバイスで特定の時刻または日付によって強制的に更新プログラムをインストールすることはできません。 Intune ソフトウェアの更新ポリシーを使用して、デバイス上の OS のバージョンをダウングレードすることはできません。
更新プログラムの可視性を遅延する
macOS の更新ポリシーを使用する場合は、指定した期間、監視対象の macOS デバイスのユーザーから更新プログラムを非表示にしたい場合があります。 このタスクでは、更新制限期間を構成する macOS デバイスの設定カタログ ポリシーを使用します。
制限期間により、ユーザーがインストールできるようになる前に更新プログラムをテストする時間を与えることができます。 制限期間が終了すると、更新プログラムはユーザーに表示され、更新ポリシーが最初にインストールされない場合はインストールを選択できます。
デバイスの制限を使用して更新プログラムを非表示にする場合は、ソフトウェア更新プログラム ポリシーを確認して、制限期間が終了する前にその更新プログラムのインストールをスケジュールしていないことを確認します。 ソフトウェア更新プログラム ポリシーでは、更新プログラムが非表示になっているか、デバイス ユーザーに表示されているかどうかにかかわらず、スケジュールに従って更新プログラムがインストールされます。
macOS デバイスでの更新プログラムの表示を制限できる設定は、 設定カタログ>Restrictions カテゴリにあります。 更新プログラムを延期するために使用できる設定の例を次に示します。
- 適用されたソフトウェア更新プログラムの遅延
- 適用されたソフトウェア更新プログラムのメジャー OS 遅延インストール遅延
- 適用されたソフトウェア更新プログラムの OS 以外の遅延インストールの遅延
[ システム更新プログラム>ソフトウェア更新プログラム ] カテゴリに関連する設定を見つけ、ユーザーがシステム UI を介して更新プログラムを手動で操作する方法を管理することもできます。 ただし、対象となる更新ポリシーからの更新は、これらの設定カタログ ポリシー設定をオーバーライドします。
ポリシーを編集する
制限された時間を変更するなど、既存のポリシーを編集することができます。
[デバイス>macOS のポリシーを更新する] を選択します。 編集するポリシーを選択します。
ポリシーの [プロパティ] を表示しながら、変更するポリシー ページの [編集] を選択します。
変更を導入したら、[ 確認と保存>保存] を選択して編集内容を保存します。
注:
開始時刻と終了時刻の両方が午前 12 時に設定されている場合、Intune では、更新プログラムのインストールのタイミングに関する制限が確認されません。 つまり、[更新プログラムのインストールを実行しない時間を選択] に設定した構成は無視され、更新プログラムはいつでもインストールできます。
設定カタログを使用して macOS ソフトウェア更新プログラムの設定をさらに構成する
[制限] カテゴリには、デバイス (Devices>By platform>macOS>Manage devices>Configuration>Create>New policy>Settings catalog>Restrictions) での macOS ソフトウェア更新プログラムの可視性を遅延させるために使用できる次の設定が含まれています。
適用されるソフトウェア更新プログラムの遅延: デバイスでソフトウェア更新プログラムを遅延させる日数を設定します。 この制限が適用されると、ユーザーはソフトウェア更新プログラムのリリース日から指定した日数が経過するまでソフトウェア更新プログラムを表示しません。 この値は、 アプリ ソフトウェア更新プログラムの強制遅延 と 遅延ソフトウェア更新プログラムの強制によって使用されます。
アプリ ソフトウェア更新プログラムの強制遅延: true の場合、Safari、XProtect、Gatekeeper などの組み込みソフトウェアの OS 以外のソフトウェア更新プログラムのユーザーの可視性が遅延します。 監視対象デバイスが必要です。 [強制ソフトウェア更新の遅延] が別の値に設定されていない限り、遅延は 30 日です。
適用されるソフトウェア更新プログラム非 OS 遅延インストールの遅延: この制限により、管理者はデバイス上のアプリ ソフトウェア更新プログラムを遅延させる日数を設定できます。 この制限が適用されている場合、ユーザーには、ソフトウェアのリリース後に指定された遅延後にのみ OS 以外のソフトウェア更新プログラムが表示されます。 この値は、アプリ ソフトウェア更新プログラムの強制遅延の遅延を制御します。
[強制的に遅延したメジャー ソフトウェア更新プログラム]: を true に設定すると、OS ソフトウェアへの主要なアップグレードのユーザーの可視性が遅延します。
適用されたソフトウェア更新プログラムメジャー OS の遅延インストールの遅延: この制限により、管理者はデバイスでソフトウェアのメジャー アップグレードを延期する日数を設定できます。 ソフトウェアの主なアップグレードは、新しいメジャー OS リリースです。たとえば、macOS 12 Monterrey と macOS 13 Ventura などです。 この制限が適用されている場合、ユーザーは、ソフトウェアアップグレードのリリース後に指定された遅延後にのみソフトウェアのアップグレードを確認します。 この値は、 主なソフトウェア更新プログラムの強制遅延の遅延を制御します。
ソフトウェア更新プログラムの遅延を強制する: true の場合、ソフトウェア更新プログラムのユーザーの可視性が遅延します。 macOS では、シード ビルドの更新は遅延なく許可されます。 [強制ソフトウェア更新の遅延] が別の値に設定されていない限り、遅延は 30 日です。
適用されたソフトウェア更新プログラムのマイナー OS 遅延インストールの遅延: この制限により、管理者はデバイス上のマイナー OS ソフトウェア更新プログラムを遅延させる日数を設定できます。 マイナー ソフトウェア更新プログラムは、主要な OS アップグレードの間にリリースされる中間更新プログラムです。たとえば、macOS 13.1 や macOS 13.2 などです。 この制限が適用されている場合、ユーザーは、ソフトウェア更新プログラムのリリース後に指定された遅延後にのみソフトウェア更新プログラムを表示します。 この値は、 ソフトウェア更新プログラムの強制遅延の遅延を制御します。
[ソフトウェア更新プログラム] カテゴリには、デバイス (Devices>By platform>macOS>Manage devices>Configuration>Create>New policy>Settings catalog>System Updates>Software Update) のユーザー エクスペリエンスを構成するために使用できる次の設定が含まれています。
プレリリースインストールを許可する: true の場合、プレリリース ソフトウェアをこのコンピューターにインストールできます。
自動チェックが有効: false の場合、[更新プログラムの確認] オプションの選択を解除し、ユーザーがオプションを変更できないようにします。
自動ダウンロード: false の場合は、[App Store から利用可能な場合は新しい更新プログラムをダウンロードする] オプションの選択を解除し、ユーザーがオプションを変更できないようにします。
アプリの更新プログラムを自動的にインストールする: false の場合は、[App Store からアプリの更新プログラムをインストールする] オプションの選択を解除し、ユーザーがオプションを変更できないようにします。
macOS 更新プログラムを自動的にインストールする: false の場合は、[macOS 更新プログラムのインストール] オプションが制限され、ユーザーがオプションを変更できなくなります。
構成データのインストール: false の場合、構成データの自動インストールが制限されます。
重要な更新プログラムのインストール: false の場合、重要な更新プログラムの自動インストールが無効になり、ユーザーが [システム データ ファイルとセキュリティ更新プログラムのインストール] オプションを変更できなくなります。
ソフトウェア更新プログラムの制限管理者のインストールが必要: true の場合は、アプリのインストールを管理者ユーザーに制限します。 このキーは、[App Store] カテゴリの [管理者のインストールが必要なストアの制限] 設定と同じ機能を持っています。
デバイスでの更新プログラムのインストール エラーを監視する
Microsoft Intune 管理センターで、[デバイス>Monitor>macOS デバイスのインストール状態] に移動します。
Intune には、更新ポリシーの対象となる監視対象の macOS デバイスの一覧が表示されます。 macOS デバイスはインストール エラーに関する情報のみを返すので、最新で正常なデバイスは一覧に含まれません。
一覧のデバイスごとに、デバイスから返されるエラーが [インストール状態] に表示されます。 潜在的なインストール状態の値の一覧を表示するには、[ macOS デバイスのインストール状態 ] ページで [ フィルター ] を選択し、[ インストール状態] のドロップダウン リストを展開します。