Поделиться через

Управление версиями операционной системы с помощью Microsoft Intune

  • Статья

Для современных платформ мобильных устройств и настольных компьютеров исправления, важные обновления и новые версии выпускаются с высокой частотой. Вы можете полностью управлять обновлениями и исправлениями в Windows, но другие платформы, такие как iOS/iPadOS и Android, требуют участия конечных пользователей в этом процессе. В Microsoft Intune есть возможности, которые позволяют структурировать управление версиями операционных систем на разных платформах.

Intune помогает решать следующие распространенные задачи:

  • определение версий операционных систем, используемых на устройствах конечных пользователей;
  • управление доступом к данным организации с устройств в процессе проверки новой операционной системы;
  • настройка рекомендуемого или обязательного обновления до последней версии операционной системы, одобренной организацией;
  • управление развертыванием новой версии операционной системы в масштабе всей организации.

Управление версиями операционной системы с помощью ограничений регистрации управления мобильными устройствами Intune

С помощью ограничений регистрации устройств можно ограничить регистрацию устройств в Intune на основе определенных атрибутов устройства. Цель заключается в том, чтобы разрешить пользователям регистрировать только устройства, которые соответствуют ожиданиям вашей организации, и предотвратить регистрацию устройств, которые не соответствуют требованиям, если они могут получить доступ к ресурсам вашей организации. Вы можете создать политики ограничения платформы регистрации для следующих платформ:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Политики ограничения платформы устройств для каждого типа платформы включают как минимальную, так и максимальную разрешенные версии операционной системы, как показано на следующем снимке экрана политики iOS:

Страница ограничений конфигурации платформы.

Практическое применение

Организации используют ограничения типов устройств для управления доступом к ресурсам организации с помощью следующих параметров:

  1. Используйте минимальную версию операционной системы, чтобы обеспечить регистрацию только текущих и поддерживаемых платформ в вашей организации.
  2. Оставьте неуказанным максимальное значение операционной системы (без ограничений) или установите для нее последнюю версию, проверенную вашей организацией для использования, чтобы предоставить время для внутреннего тестирования новых выпусков операционной системы.

Дополнительные сведения см. в разделе Создание ограничения платформы устройства.

Отчеты о версиях операционной системы и соответствие политикам соответствия устройств Intune

Intune политики соответствия устройств предоставляют следующие средства:

  • Укажите правила соответствия, определяющие необходимые конфигурации для устройств.
  • Просмотрите отчеты о соответствии, чтобы понять, какие устройства не соответствуют требованиям и какие параметры в политиках.
  • Действовать в соответствии с результатами несоответствия с помощью карантина устройств и политик условного доступа, которые предотвращают доступ к ресурсам вашей организации несоответствующим устройствам.

Как и в случае с ограничениями регистрации, в политиках соответствия устройств требованиям можно указывать минимальную и максимальную версии операционной системы. Политики также позволяют предоставлять период отсрочки, в течение которого пользователи могут обеспечить соответствие требованиям. Политики соответствия устройств поддерживают соответствие зарегистрированных устройств конечным пользователям ожиданиям вашей организации.

Соответствие устройств требованиям — действия для несоответствующих устройств

Практическое применение

Организации используют политики соответствия устройств требованиям в тех же целях, что и ограничения регистрации. Они позволяют обеспечивать использование актуальных, проверенных версий операционных систем в организации. Когда устройства пользователей перестают соответствовать требованиям, доступ к ресурсам организации можно блокировать посредством условного доступа, пока пользователи не перейдут на одну из поддерживаемых в организации версий операционной системы. Конечные пользователи получают уведомления о том, что они не соответствуют требованиям, и им предоставляются действия по восстановлению доступа.

Дополнительные сведения см. в статье Начало работы с соответствием устройств.

Управление версиями операционных систем с помощью политик защиты приложений Intune

С помощью политик защиты приложений Intune и параметров доступа для управления мобильными приложениями (MAM) можно указывать минимальную версию операционной системы на уровне приложения. Это позволяет рекомендовать пользователям или требовать от них обновления операционной системы до указанной минимальной версии.

У вас есть два варианта:

  • Предупреждение сообщает пользователю о том, что ему следует установить обновление, когда он открывает приложение с политикой защиты приложений или параметрами доступа MAM на устройстве, версия операционной системы которого ниже указанной. Доступ к приложению и данным организации разрешен.

    Изображение диалогового окна предупреждения об обновлении Android

  • Блокировка. Блокировка сообщает пользователю о том, что ему необходимо произвести обновление, когда он открывает приложение с политикой защиты приложений или параметрами доступа MAM на устройстве, версия операционной системы которого ниже заданной. Доступ к данным приложения и организации запрещен.

    Изображение диалогового окна

Практическое применение

Организации используют политики защиты приложений, чтобы сообщать пользователям о необходимости обновления приложений при их открытии. Например, пользователи могут получать предупреждение, если у них установлена предпоследняя версия. Если же они используют еще более раннюю версию, доступ блокируется.

Дополнительные сведения см. в статье Создание и назначение политик защиты приложений.

Управление несколькими версиями ОС с помощью политик защиты приложений Intune

В разделе Политики защиты приложений (APP) можно настроить только одну минимальную версию ОС в параметрах условного запуска, но можно создать несколько APP с разными минимальными значениями ОС. Однако, так как APP назначаются группам пользователей, это означает, что пользователь с несколькими устройствами под управлением разных версий ОС может столкнуться с конфликтующими требованиями к ОС при доступе к защищенным ресурсам.

Чтобы разрешить использование нескольких APP с разными требованиями к ОС для одного и того же пользователя, можно создать фильтры , предназначенные для приложения к определенной версии ОС.

Существует два типа фильтров для Intune: управляемые устройства и управляемые приложения. APP поддерживает только фильтры управляемых приложений.

Создание фильтров

Чтобы использовать фильтры с APP, необходимо создать фильтр для каждой конкретной версии ОС, на которую вы хотите ориентироваться:

  1. Перейдите в Центр администрирования Microsoft Intune.

  2. Выберите Администрирование> клиентаФильтры>Создание>управляемых приложений.

  3. На странице Основные сведения введите имя фильтра, который упрощает его идентификацию, и выберите платформу, на которую вы хотите ориентироваться, в этом примере iOS/iPadOS.

  4. На странице Правила создайте фильтр для основного выпуска ОС, например Property=osVersion(версия ОС), Operator=StartsWith, Value=18.

  • Необязательно. С помощью кнопки Предварительный просмотр можно проверка устройства, пользователя и приложения, которые соответствуют указанному фильтру.
  1. На странице Проверка и создание сохраните фильтр, выбрав Создать.

Повторите эти действия, чтобы создать дополнительные фильтры для каждой платформы и основных версий ОС, которые вы хотите использовать, например iOS 16 и 17.

Создание и назначение приложения с фильтром

  1. Перейдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения>защита приложений политики>Создать политику> Выберите платформу, на которую вы хотите использовать приложение, например iOS/iPadOS.

  3. На странице Основные сведения введите имя политики, которое упрощает ее идентификацию.

  4. Заполните страницы Приложения, защита данных и Требования к доступу с параметрами политики защиты приложений iOS, Android или Windows , которые соответствуют требованиям вашей организации. В разделе Условия устройства на странице Условного запуска (или на странице Проверки работоспособности для windows APP) настройте дополнительный выпуск ОС или выпуск исправлений, который вы хотите установить в качестве минимальной версии. Например, Setting=Min OS version, Value=18.2.1, Action=Block access/Wipe data/Warn в соответствии с действием, необходимым для вашей организации.

  5. На странице Назначения используйте ранее созданный фильтр, чтобы область назначения политики в правильную основную версию ОС.

  6. На странице Проверка и создание сохраните политику, выбрав Создать.

В приведенном примере фильтр будет предназначен для устройств под управлением iOS 18, а для параметров условного запуска ПРИЛОЖЕНИЯ потребуется 18.2.1, что гарантирует, что приложение не применяется к устройствам, работающим в других основных версиях iOS.

Создайте дополнительные точки доступа для каждой версии ОС, например:

  • Вторая политика для iOS 16: условный запуск, условия устройства, min OS version=16.7.10, filter, версия ОС, StartsWith=16.

  • Третья политика для iOS 17: условный запуск, условия устройства, минимальная версия ОС=17.7.2, версия ОС фильтра, StartsWith=17.

Практическое применение

Организации могут создавать несколько APP, для которых требуются разные минимальные версии ОС. Это позволяет отфильтровать назначение этих APP, чтобы они применялись только к каждой основной версии ОС. Это гарантирует, что каждое приложение совместимо с определенной версией ОС, которому оно назначено, обеспечивая индивидуальный подход к защите приложений.

По мере того как поставщики ОС выпускают новые незначительные обновления или исправления ОС, вы также можете обновить каждое приложение с новой минимальной версией ОС. Этот процесс непрерывного обновления гарантирует безопасность вашей организации, всегда используя последние версии ОС. Поддержание актуальности приложений и версий ОС помогает защититься от уязвимостей и повысить общую безопасность.

Управление развертыванием новой версии операционной системы

Вы можете использовать возможности Intune, описанные в этой статье, чтобы помочь переместить устройства организации на новую версию операционной системы в временная шкала, который вы определяете. Ниже представлен пример последовательности действий для перевода пользователей с операционной системы версии 1 на операционную систему версии 2 за семь дней.

  1. Используйте ограничения регистрации устройств , чтобы требовать операционную систему версии 2 в качестве минимальной версии для регистрации устройства. Это позволит обеспечить соответствие устройств пользователей требованиям во время регистрации.
  2. Используйте политики защиты приложений Intune, чтобы предупреждать пользователей при открытии или возобновлении работы защищенного приложения о том, что требуется новая операционная система версии 2.
  3. Используйте политики соответствия устройств , чтобы требовать операционную систему версии 2 в качестве минимальной версии для соответствия устройства. Используйте действия для несоответствия, чтобы разрешить семидневный льготный период и отправить пользователям уведомление по электронной почте с вашим временная шкала и требованиями.
    • Эти политики могут информировать конечных пользователей о необходимости обновления устройств по электронной почте, Корпоративный портал Intune и при открытии приложения для приложений, включенных политикой защиты приложений.
    • Для определения пользователей, устройства которых не соответствуют требованиям, можно создать отчет о соответствии.
  4. Используйте политики защиты приложений Intune, чтобы блокировать пользователей при открытии или возобновлении работы приложения, если на устройстве не установлена операционная система версии 2.
  5. Используйте политики соответствия устройств требованиям, чтобы указать операционную систему версии 2 в качестве минимальной версии для соответствия устройства требованиям.
    • Эти политики требуют обновления устройств для возобновления доступа к данным организации. Защищенные службы блокируются при использовании на устройствах условного доступа. Приложения, для которых включена политика защиты приложений, блокируются при открытии или при доступе к данным организации.

Дальнейшие действия

Используйте следующие ресурсы для управления версиями операционной системы, используемыми в вашей организации: