Zarządzanie wersjami systemu operacyjnego za pomocą usługi Microsoft Intune

Na nowoczesnych platformach mobilnych i klasycznych duże aktualizacje, poprawki i nowe wersje są dostępne w szybkim tempie. Masz kontrolki umożliwiające pełne zarządzanie aktualizacjami i poprawkami w systemie Windows, ale inne platformy, takie jak iOS/iPadOS i Android, wymagają, aby użytkownicy końcowi uczestniczyli w tym procesie. Usługa Microsoft Intune oferuje możliwości ułatwiające strukturę zarządzania wersjami systemu operacyjnego na różnych platformach.

Usługa Intune może pomóc w rozwiązaniu tych typowych scenariuszy:

• Określanie wersji systemu operacyjnego na urządzeniach użytkowników końcowych
• Kontrolowanie dostępu do danych organizacji na urządzeniach podczas weryfikowania nowej wersji systemu operacyjnego
• Zachęcanie użytkowników końcowych do uaktualniania do najnowszej wersji systemu operacyjnego zatwierdzonej przez organizację
• Zarządzanie wdrożeniem w całej organizacji w nowej wersji systemu operacyjnego

Kontrola wersji systemu operacyjnego przy użyciu ograniczeń rejestracji zarządzania urządzeniami przenośnymi w usłudze Intune

Dzięki ograniczeniom rejestracji urządzeń można ograniczyć rejestrowanie urządzeń w usłudze Intune na podstawie określonych atrybutów urządzenia. Celem jest umożliwienie użytkownikom rejestrowania tylko urządzeń zgodnych z oczekiwaniami organizacji oraz zapobieganie rejestracji urządzeń, które nie są zgodne, gdzie mogą uzyskać dostęp do zasobów organizacji. Zasady ograniczeń platformy urządzeń rejestracji można utworzyć dla następujących platform:

• Android
• iOS/iPadOS
• macOS
• System Windows

Zasady ograniczeń platformy urządzeń dla każdego typu platformy obejmują zarówno minimalną, jak i maksymalną dozwoloną wersję systemu operacyjnego, jak pokazano na poniższym ekranie przechwytywania zasad systemu iOS:

W praktyce

Organizacje używają ograniczeń typu urządzenia do kontrolowania dostępu do zasobów organizacji przy użyciu następujących ustawień:

1. Użyj minimalnej wersji systemu operacyjnego, aby upewnić się, że można rejestrować tylko bieżące i obsługiwane platformy w organizacji.
2. Pozostaw nieokreślony maksymalny system operacyjny (bez limitu) lub ustaw go na ostatnią wersję zweryfikowaną przez organizację do użycia, aby dać czas na wewnętrzne testowanie nowych wersji systemu operacyjnego.

Aby uzyskać więcej informacji, zobacz Create a device platform restriction (Tworzenie ograniczenia platformy urządzenia).

Raportowanie wersji systemu operacyjnego i zgodność z zasadami zgodności urządzeń usługi Intune

Zasady zgodności urządzeń usługi Intune udostępniają następujące narzędzia:

• Określ reguły zgodności definiujące wymagane konfiguracje dla urządzeń.
• Wyświetl raporty zgodności, aby dowiedzieć się, które urządzenia są niezgodne i do jakich ustawień w zasadach.
• Działaj zgodnie z wynikami niezgodności za pośrednictwem zasad kwarantanny urządzeń i dostępu warunkowego, które uniemożliwiają niezgodnym urządzeniom dostęp do zasobów organizacji.

Podobnie jak ograniczenia rejestracji, zasady zgodności urządzeń obejmują zarówno minimalną, jak i maksymalną wersję systemu operacyjnego. Zasady mają również oś czasu zgodności, aby zapewnić użytkownikom okres prolongaty w celu uzyskania zgodności. Zasady zgodności urządzeń zachowują zgodność zarejestrowanych urządzeń użytkowników końcowych z oczekiwaniami organizacji.

W praktyce

Organizacje używają zasad zgodności urządzeń w tych samych scenariuszach, co ograniczenia rejestracji. Te zasady utrzymują użytkowników w bieżących, zweryfikowanych wersjach systemu operacyjnego w organizacji. Gdy urządzenia użytkowników końcowych nie są zgodne, dostęp do zasobów organizacji może być blokowany za pośrednictwem dostępu warunkowego, dopóki użytkownicy końcowi nie będą korzystać z obsługiwanego zakresu systemu operacyjnego w organizacji. Użytkownicy końcowi są powiadamiani, że są niezgodni i otrzymują kroki w celu odzyskania dostępu.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zgodności urządzeń.

Mechanizmy kontroli wersji systemu operacyjnego przy użyciu zasad ochrony aplikacji usługi Intune

Zasady ochrony aplikacji usługi Intune i ustawienia dostępu do zarządzania aplikacjami mobilnymi (MAM) umożliwiają określenie minimalnej wersji systemu operacyjnego w warstwie aplikacji. Dzięki temu można informować użytkowników końcowych i zachęcać ich do aktualizowania systemu operacyjnego do określonej wersji minimalnej lub wymagać ich.

Dostępne są dwie opcje:

• Ostrzeżenie — ostrzeżenie informuje użytkownika końcowego, że powinien zostać uaktualniony, jeśli otworzy aplikację z zasadami ochrony aplikacji lub ustawieniami dostępu mam na urządzeniu z wersją systemu operacyjnego poniżej określonej wersji. Dostęp jest dozwolony dla aplikacji i danych organizacyjnych.

  

• Blokuj — pozycja Blokuj informuje użytkownika końcowego, że musi zostać uaktualniony po otwarciu aplikacji z zasadami ochrony aplikacji lub ustawieniami dostępu mam na urządzeniu z wersją systemu operacyjnego poniżej określonej wersji. Dostęp nie jest dozwolony dla danych aplikacji i organizacji.

  

W praktyce

Organizacje korzystają z ustawień zasad ochrony aplikacji już dziś, gdy aplikacje są otwierane lub wznawiane w celu informowania użytkowników końcowych o konieczności utrzymywania aktualności aplikacji. Przykładowa konfiguracja polega na tym, że użytkownicy końcowi są ostrzegani w bieżącej wersji pomniejszonej o jedną i zablokowani w bieżącej wersji minus dwie.

Aby uzyskać więcej informacji, zobacz How to create and assign app protection policies (Jak tworzyć i przypisywać zasady ochrony aplikacji).

Zarządzanie wprowadzeniem nowej wersji systemu operacyjnego

Możesz użyć funkcji usługi Intune opisanych w tym artykule, aby ułatwić przenoszenie urządzeń organizacji do nowej wersji systemu operacyjnego w ramach zdefiniowanej osi czasu. Poniższe kroki zawierają przykładowy model wdrażania umożliwiający przenoszenie użytkowników z systemu operacyjnego w wersji 1 do systemu operacyjnego w wersji 2 w ciągu siedmiu dni.

1. Ograniczenia rejestracji urządzeń umożliwiają wymaganie systemu operacyjnego w wersji 2 jako minimalnej wersji do zarejestrowania urządzenia. Dzięki temu nowe urządzenia użytkowników końcowych są zgodne w czasie rejestracji.
2. Użyj zasad ochrony aplikacji usługi Intune, aby ostrzegać użytkowników, gdy chroniona aplikacja zostanie otwarta lub wznowiona, że wymagany jest nowszy system operacyjny w wersji 2.
3. Użyj zasad zgodności urządzeń , aby wymagać, aby system operacyjny w wersji 2 był minimalną wersją, aby urządzenie było zgodne. Użyj akcji w przypadku niezgodności , aby zezwolić na siedmiodniowy okres prolongaty i wysłać użytkownikom końcowym powiadomienie e-mail z osią czasu i wymaganiami.
   • Te zasady mogą informować użytkowników końcowych, że ich urządzenia muszą być aktualizowane za pośrednictwem poczty e-mail, portalu firmy usługi Intune oraz po otwarciu aplikacji dla aplikacji z włączonymi zasadami ochrony aplikacji.
   • Możesz uruchomić raport zgodności, aby zidentyfikować użytkowników, którzy nie są zgodni.
4. Zasady ochrony aplikacji usługi Intune umożliwiają blokowanie użytkowników po otwarciu lub wznowieniu aplikacji, jeśli na urządzeniu nie działa system operacyjny w wersji 2.
5. Użyj zasad zgodności urządzeń, aby wymagać, aby system operacyjny w wersji 2 był minimalną wersją, aby urządzenie było zgodne.
   • Te zasady wymagają aktualizacji urządzeń w celu dalszego uzyskiwania dostępu do danych organizacji. Chronione usługi są blokowane w przypadku użycia z dostępem warunkowym urządzenia. Aplikacje z włączonymi zasadami ochrony aplikacji są blokowane po otwarciu lub podczas uzyskiwania dostępu do danych organizacji.

Następne kroki

Użyj następujących zasobów, aby zarządzać wersjami systemu operacyjnego, które są używane w organizacji:

• Ustawianie ograniczeń typu urządzenia
• Wprowadzenie do zgodności urządzeń
• Jak tworzyć i przypisywać zasady ochrony aplikacji