使用 Microsoft Intune 管理操作系统版本

在新式移动和桌面平台上，主要更新、修补程序和新版本的发布速度很快。你在 Windows 上具有完全管理更新和修补程序的控制权限，但在 iOS/iPadOS 和 Android 等平台上，要求最终用户也参与此过程。 Microsoft Intune 可帮助构建跨不同平台的操作系统版本管理。

Intune 能解决的常见方案包括：

使用 Intune 移动设备管理注册限制的操作系统版本控制

借助设备注册限制，可以根据某些设备属性限制设备在 Intune 中注册。目标是允许用户仅注册符合组织期望的设备，并阻止注册不符合要求的设备，以便他们能够访问组织资源。可以为以下 平台创建注册设备平台限制 策略：

每种平台类型的设备平台限制策略包括允许的最低和最大操作系统版本，如 iOS 策略的以下屏幕截图所示：

平台配置限制页。

组织使用以下设置使用设备类型限制来控制对组织资源的访问：

有关详细信息，请参阅创建设备平台限制。

Intune 设备符合性策略提供以下工具：

与注册限制类似，设备合规性策略同时包含最低和最高操作系统版本。策略还具有符合性时间线，以向你的用户提供用于获得符合性的宽限期。设备符合性策略使已注册的最终用户设备符合组织的期望。

设备合规性 - 针对不合规设备的操作

对于相同的方案，组织正使用与注册限制一致的设备符合性策略。这些策略确保用户处于组织中已验证的当前操作系统版本。当最终用户设备不符合时，可通过条件访问阻止其对组织资源的访问，直至最终用户处于受组织支持的操作系统范围内。最终用户将收到不合规的通知，并会为他们提供重新获得访问权限的步骤。

有关详细信息，请参阅设备符合性入门。

Intune 应用保护策略和移动应用程序管理 (MAM) 访问设置允许你在应用层指定最低操作系统版本。如此一来便可通知、鼓励或要求最终用户将操作系统更新至指定的最低版本。

方法有以下两种：

警告 - 如果最终用户打开具有应用程序保护策略的应用，或对于具有 MAM 访问设置的设备，其操作系统版本低于指定版本，则“警告”将通知最终用户需进行升级。允许访问应用和组织数据。
阻止 - 如果最终用户打开具有应用程序保护策略的应用，或对于具有 MAM 访问设置的设备，其操作系统版本低于指定版本，则“阻止”将通知最终用户必须进行升级。应用和组织数据不允许访问。

当前，在打开或恢复应用时，组织通过使用应用保护策略设置提醒最终用户需确保其应用处于最新版本。例如这个示例配置：如果版本为最新版本减一，则将警告最终用户；如果版本为最新版本减二，则将阻止最终用户。

可以使用本文中所述的 Intune 功能来帮助在定义的时间线内将组织设备移动到新的操作系统版本。以下是关于某个示例部署模型的步骤说明，该示例在七天内将用户从操作系统 v1 移至操作系统 v2。

使用设备注册限制要求将操作系统 v2 作为注册设备的最低版本。此操作确保新的最终用户设备在注册时满足合规性。
当受保护的应用打开或恢复需要较新的操作系统 v2 时，使用 Intune 应用保护策略警告用户。
使用设备符合性策略要求操作系统 v2 作为设备符合要求的最低版本。使用 针对不合规的操作 允许 7 天的宽限期，并向最终用户发送包含时间线和要求的电子邮件通知。
- 这些策略可以通知最终用户，需要通过电子邮件、Intune 公司门户更新其设备，以及何时为启用了应用保护策略的应用打开应用。
- 可运行合规性报告来标识不符合的用户。
如果设备未运行操作系统 v2，则使用 Intune 应用保护策略在应用打开或恢复时阻止用户。
使用设备合规性策略，将操作系统 v2 作为使设备获得合规性的最低版本。
- 这些策略要求更新设备，以便继续访问组织数据。当与设备条件访问配合使用时，受保护的服务将被阻止。启用了应用保护策略的应用在打开时或访问组织数据时将被阻止。

使用以下资源管理组织中正在使用的操作系统版本：