Udostępnij za pośrednictwem

Zarządzanie wersjami systemu operacyjnego za pomocą Microsoft Intune

  • Artykuł

Na nowoczesnych platformach mobilnych i klasycznych duże aktualizacje, poprawki i nowe wersje są dostępne w szybkim tempie. Masz kontrolki umożliwiające pełne zarządzanie aktualizacjami i poprawkami w systemie Windows, ale inne platformy, takie jak iOS/iPadOS i Android, wymagają, aby użytkownicy końcowi uczestniczyli w tym procesie. Microsoft Intune ma możliwości ułatwiające strukturę zarządzania wersjami systemu operacyjnego na różnych platformach.

Intune mogą pomóc w rozwiązaniu tych typowych scenariuszy:

  • Określanie wersji systemu operacyjnego na urządzeniach użytkowników końcowych
  • Kontrolowanie dostępu do danych organizacji na urządzeniach podczas weryfikowania nowej wersji systemu operacyjnego
  • Zachęcanie użytkowników końcowych do uaktualniania do najnowszej wersji systemu operacyjnego zatwierdzonej przez organizację
  • Zarządzanie wdrożeniem w całej organizacji w nowej wersji systemu operacyjnego

Kontrola wersji systemu operacyjnego przy użyciu Intune ograniczeń rejestracji zarządzania urządzeniami przenośnymi

Dzięki ograniczeniom rejestracji urządzeń można ograniczyć rejestrowanie urządzeń w Intune na podstawie określonych atrybutów urządzenia. Celem jest umożliwienie użytkownikom rejestrowania tylko urządzeń zgodnych z oczekiwaniami organizacji oraz zapobieganie rejestracji urządzeń, które nie są zgodne, gdzie mogą uzyskać dostęp do zasobów organizacji. Zasady ograniczeń platformy urządzeń rejestracji można utworzyć dla następujących platform:

  • Android
  • iOS/iPadOS
  • macOS
  • System Windows

Zasady ograniczeń platformy urządzeń dla każdego typu platformy obejmują zarówno minimalną, jak i maksymalną dozwoloną wersję systemu operacyjnego, jak pokazano na poniższym ekranie przechwytywania zasad systemu iOS:

Strona ograniczeń konfiguracji platformy.

W praktyce

Organizacje używają ograniczeń typu urządzenia do kontrolowania dostępu do zasobów organizacji przy użyciu następujących ustawień:

  1. Użyj minimalnej wersji systemu operacyjnego, aby upewnić się, że można rejestrować tylko bieżące i obsługiwane platformy w organizacji.
  2. Pozostaw nieokreślony maksymalny system operacyjny (bez limitu) lub ustaw go na ostatnią wersję zweryfikowaną przez organizację do użycia, aby dać czas na wewnętrzne testowanie nowych wersji systemu operacyjnego.

Aby uzyskać więcej informacji, zobacz Create a device platform restriction (Tworzenie ograniczenia platformy urządzenia).

Raportowanie wersji systemu operacyjnego i zgodność z zasadami zgodności urządzeń Intune

Intune zasady zgodności urządzeń udostępniają następujące narzędzia:

  • Określ reguły zgodności definiujące wymagane konfiguracje dla urządzeń.
  • Wyświetl raporty zgodności, aby dowiedzieć się, które urządzenia są niezgodne i do jakich ustawień w zasadach.
  • Działaj zgodnie z wynikami niezgodności za pośrednictwem zasad kwarantanny urządzeń i dostępu warunkowego, które uniemożliwiają niezgodnym urządzeniom dostęp do zasobów organizacji.

Podobnie jak ograniczenia rejestracji, zasady zgodności urządzeń obejmują zarówno minimalną, jak i maksymalną wersję systemu operacyjnego. Zasady mają również oś czasu zgodności, aby zapewnić użytkownikom okres prolongaty w celu uzyskania zgodności. Zasady zgodności urządzeń zachowują zgodność zarejestrowanych urządzeń użytkowników końcowych z oczekiwaniami organizacji.

Zgodność urządzeń — akcje dla niezgodnych urządzeń

W praktyce

Organizacje używają zasad zgodności urządzeń w tych samych scenariuszach, co ograniczenia rejestracji. Te zasady utrzymują użytkowników w bieżących, zweryfikowanych wersjach systemu operacyjnego w organizacji. Gdy urządzenia użytkowników końcowych nie są zgodne, dostęp do zasobów organizacji może być blokowany za pośrednictwem dostępu warunkowego, dopóki użytkownicy końcowi nie będą korzystać z obsługiwanego zakresu systemu operacyjnego w organizacji. Użytkownicy końcowi są powiadamiani, że są niezgodni i otrzymują kroki w celu odzyskania dostępu.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zgodności urządzeń.

Mechanizmy kontroli wersji systemu operacyjnego przy użyciu zasad ochrony aplikacji Intune

Intune zasad ochrony aplikacji i ustawień dostępu do zarządzania aplikacjami mobilnymi (MAM) umożliwiają określenie minimalnej wersji systemu operacyjnego w warstwie aplikacji. Dzięki temu można informować użytkowników końcowych i zachęcać ich do aktualizowania systemu operacyjnego do określonej wersji minimalnej lub wymagać ich.

Dostępne są dwie opcje:

  • Ostrzeżenie — ostrzeżenie informuje użytkownika końcowego, że powinien zostać uaktualniony, jeśli otworzy aplikację z zasadami ochrony aplikacji lub ustawieniami dostępu mam na urządzeniu z wersją systemu operacyjnego poniżej określonej wersji. Dostęp jest dozwolony dla aplikacji i danych organizacyjnych.

    Obraz przedstawiający okno dialogowe ostrzeżenia dotyczącego aktualizacji systemu Android

  • Blokuj — pozycja Blokuj informuje użytkownika końcowego, że musi zostać uaktualniony po otwarciu aplikacji z zasadami ochrony aplikacji lub ustawieniami dostępu mam na urządzeniu z wersją systemu operacyjnego poniżej określonej wersji. Dostęp nie jest dozwolony dla danych aplikacji i organizacji.

    Obraz okna dialogowego Zablokowany dostęp do aplikacji

W praktyce

Organizacje korzystają z ustawień zasad ochrony aplikacji już dziś, gdy aplikacje są otwierane lub wznawiane w celu informowania użytkowników końcowych o konieczności utrzymywania aktualności aplikacji. Przykładowa konfiguracja polega na tym, że użytkownicy końcowi są ostrzegani w bieżącej wersji pomniejszonej o jedną i zablokowani w bieżącej wersji minus dwie.

Aby uzyskać więcej informacji, zobacz How to create and assign app protection policies (Jak tworzyć i przypisywać zasady ochrony aplikacji).

Zarządzanie wieloma wersjami systemu operacyjnego przy użyciu zasad ochrony aplikacji Intune

W obszarze Zasady ochrony aplikacji (APP) można skonfigurować tylko jedną minimalną wersję systemu operacyjnego w ustawieniach uruchamiania warunkowego, ale można utworzyć wiele adresów API z różnymi minimalnymi wartościami systemu operacyjnego. Jednak ponieważ adresy API są przypisane do grup użytkowników, oznacza to, że użytkownik z wieloma urządzeniami z różnymi wersjami systemu operacyjnego może napotkać sprzeczne wymagania dotyczące systemu operacyjnego podczas uzyskiwania dostępu do chronionych zasobów.

Aby zezwolić na kierowanie wielu adresów API z różnymi wymaganiami systemu operacyjnego do tego samego użytkownika, można utworzyć filtry przeznaczone dla aplikacji do określonej wersji systemu operacyjnego.

Istnieją dwa typy filtrów dla Intune: urządzenia zarządzane i aplikacje zarządzane. Aplikacja obsługuje tylko filtry aplikacji zarządzanych.

Tworzenie filtrów

Aby używać filtrów z adresami API, należy utworzyć filtr dla każdej konkretnej wersji systemu operacyjnego, którą chcesz zastosować:

  1. Przejdź do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycjęFiltry>administrowania>dzierżawą Utwórz>aplikacje zarządzane.

  3. Na stronie Podstawy wprowadź nazwę filtru, która ułatwia jego identyfikację, i wybierz platformę, do której chcesz się kierować, w tym przykładzie system iOS/iPadOS.

  4. Na stronie Reguły utwórz filtr dla głównej wersji systemu operacyjnego, która ma być docelowa, na przykład Property=osVersion(wersja systemu operacyjnego), Operator=StartsWith, Value=18.

  • Opcjonalnie: możesz użyć przycisku Podgląd , aby sprawdzić urządzenie, użytkownika i aplikację, które są zgodne z określonym filtrem.
  1. Na stronie Przeglądanie i tworzenie zapisz filtr, wybierając pozycję Utwórz.

Powtórz te kroki, aby utworzyć dodatkowe filtry dla każdej platformy i głównej wersji systemu operacyjnego, na przykład systemu iOS 16 i 17.

Tworzenie i kierowanie aplikacji za pomocą filtru

  1. Przejdź do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Aplikacje>Ochrona aplikacji zasady>Utwórz zasady> Wybierz platformę, na którą chcesz kierować aplikację, na przykład iOS/iPadOS.

  3. Na stronie Podstawy wprowadź nazwę zasad, która ułatwia ich identyfikację.

  4. Wypełnij strony Apps, Data protection and Access requirements (Wymagania dotyczące aplikacji, ochrony danych i dostępu) przy użyciu ustawień zasad ochrony aplikacji dla systemów iOS, Android lub Windows, które spełniają wymagania organizacji. W sekcji Warunki urządzenia na stronie Uruchamianie warunkowe (lub na stronie Sprawdzanie kondycji dla aplikacji systemu Windows) skonfiguruj wersję pomocniczą lub poprawkę systemu operacyjnego, którą chcesz ustawić jako wersję minimalną. Na przykład Ustawienie=Minimalna wersja systemu operacyjnego, Value=18.2.1, Action=Block access/Wipe data/Warn, zgodnie z akcją wymaganą dla organizacji.

  5. Na stronie Przypisania użyj wcześniej utworzonego filtru, aby określić zakres przypisania zasad do poprawnej wersji głównego systemu operacyjnego.

  6. Na stronie Przeglądanie i tworzenie zapisz zasady, wybierając pozycję Utwórz.

W pokazanym przykładzie filtr będzie przeznaczony dla urządzeń z systemem iOS 18, a ustawienia uruchamiania warunkowego aplikacji będą wymagać wersji 18.2.1, co zapewni, że aplikacja nie będzie miała zastosowania do urządzeń działających w innej wersji głównej systemu iOS.

Utwórz dodatkowe adresy API dla każdej wersji systemu operacyjnego, na przykład:

  • Drugie zasady dla systemu iOS 16: uruchamianie warunkowe, warunki urządzenia, minimalna wersja systemu operacyjnego=16.7.10, filtr, wersja systemu operacyjnego, StartsWith=16.

  • Trzecie zasady dla systemu iOS 17: uruchamianie warunkowe, warunki urządzenia, minimalna wersja systemu operacyjnego=17.7.2, wersja filtru systemu operacyjnego, StartsWith=17.

W praktyce

Organizacje mogą tworzyć wiele adresów API, które wymagają różnych minimalnych wersji systemu operacyjnego. W ten sposób można filtrować przypisanie tych adresów API, aby były stosowane tylko do każdej głównej wersji systemu operacyjnego. Dzięki temu każda aplikacja jest zgodna z określoną wersją systemu operacyjnego, do którą jest przypisana, zapewniając dostosowane podejście do ochrony aplikacji.

Ponieważ dostawcy systemu operacyjnego udostępniają nowe drobne aktualizacje lub poprawki systemu operacyjnego, możesz również zaktualizować każdą aplikację przy użyciu nowej minimalnej wersji systemu operacyjnego. Ten proces ciągłego aktualizowania zapewnia, że twoja organizacja pozostaje bezpieczna, zawsze używając najnowszych wersji systemu operacyjnego. Aktualizowanie aplikacji i wersji systemu operacyjnego pomaga chronić przed lukami w zabezpieczeniach i zwiększa ogólne bezpieczeństwo.

Zarządzanie wprowadzeniem nowej wersji systemu operacyjnego

Możesz użyć funkcji Intune opisanych w tym artykule, aby ułatwić przenoszenie urządzeń organizacji do nowej wersji systemu operacyjnego na zdefiniowanej osi czasu. Poniższe kroki zawierają przykładowy model wdrażania umożliwiający przenoszenie użytkowników z systemu operacyjnego w wersji 1 do systemu operacyjnego w wersji 2 w ciągu siedmiu dni.

  1. Ograniczenia rejestracji urządzeń umożliwiają wymaganie systemu operacyjnego w wersji 2 jako minimalnej wersji do zarejestrowania urządzenia. Dzięki temu nowe urządzenia użytkowników końcowych są zgodne w czasie rejestracji.
  2. Użyj Intune zasad ochrony aplikacji, aby ostrzegać użytkowników, gdy chroniona aplikacja zostanie otwarta lub wznawiona, że jest wymagany nowszy system operacyjny w wersji 2.
  3. Użyj zasad zgodności urządzeń , aby wymagać, aby system operacyjny w wersji 2 był minimalną wersją, aby urządzenie było zgodne. Użyj akcji w przypadku niezgodności , aby zezwolić na siedmiodniowy okres prolongaty i wysłać użytkownikom końcowym powiadomienie e-mail z osią czasu i wymaganiami.
    • Te zasady mogą informować użytkowników końcowych, że ich urządzenia muszą zostać zaktualizowane za pośrednictwem poczty e-mail, Intune — Portal firmy oraz po otwarciu aplikacji dla aplikacji z włączonymi zasadami ochrony aplikacji.
    • Możesz uruchomić raport zgodności, aby zidentyfikować użytkowników, którzy nie są zgodni.
  4. Użyj Intune zasad ochrony aplikacji, aby zablokować użytkowników po otwarciu lub wznowieniu aplikacji, jeśli na urządzeniu nie działa system operacyjny w wersji 2.
  5. Użyj zasad zgodności urządzeń, aby wymagać, aby system operacyjny w wersji 2 był minimalną wersją, aby urządzenie było zgodne.
    • Te zasady wymagają aktualizacji urządzeń w celu dalszego uzyskiwania dostępu do danych organizacji. Chronione usługi są blokowane w przypadku użycia z dostępem warunkowym urządzenia. Aplikacje z włączonymi zasadami ochrony aplikacji są blokowane po otwarciu lub podczas uzyskiwania dostępu do danych organizacji.

Następne kroki

Użyj następujących zasobów, aby zarządzać wersjami systemu operacyjnego, które są używane w organizacji: