Microsoft Intune中 BYOD 和个人设备的软件更新规划指南

随着组织采用混合和远程员工队伍,管理员在控制和管理用户拥有的设备上的软件更新方面面临挑战。 这些设备通常称为 BYOD (自带设备) 或个人拥有的设备。 当设备属于组织所有时,IT 管理员将管理软件更新。 在个人设备上,IT 管理员通常无法控制软件更新。

默认情况下,如果新更新可用于未在Intune) 中注册的非托管设备 (,则用户会收到通知和/或看到其设备上可用的最新更新 (设置>软件汇报) 。 这些更新的时间因运营商、OEM 和设备本身而异。 用户可以随时自行检查更新。

为了帮助管理非托管设备上的软件更新,有Intune策略和功能可以提供帮助。 本部分列出了在非托管设备上安装软件更新Microsoft建议的策略。

本文适用于:

  • Android Enterprise
  • iOS/iPadOS

提示

如果设备是组织所有,请转到软件更新规划指南,了解以下情况:

创建注册限制

用户可以在 Microsoft Intune 中注册其个人设备。

  • 当用户注册其个人 Android 设备时,这些设备会自动获取工作配置文件。 创建的任何策略都应用于工作配置文件,而不是个人配置文件。 有关个人设备的 Android 注册选项的信息,请转到 Android 注册指南

  • 注册 iOS/iPadOS 设备时,行为取决于使用的注册选项。 有关个人设备的不同 iOS/iPadOS 注册选项的信息,请转到 iOS/iPadOS 注册指南

✅ 创建需要最低和最大操作系统版本的注册限制策略。 此策略有助于为新注册创建良好的基线。

以下示例显示了适用于 Android Enterprise 设备的注册设备平台限制策略:

显示 Microsoft Intune 管理中心中 Android 设备的注册限制策略的屏幕截图。

当用户注册其个人设备时,此策略会检查版本信息。 如果设备超出了输入的版本,则阻止它们注册。

有关此功能的详细信息,请转到 Intune 中的设备平台限制

创建合规性策略

合规性策略有助于使设备保持最新状态。 如果设备未使用你定义的版本,则设备被标记为不符合。 不符合的设备显示在Microsoft Intune管理中心。

✅ 创建合规性策略。 使用内置报告可查看不合规的设备并查看不合规的单个设置。

在合规性策略中,可以:

  • 通知用户 OS 版本不符合要求。
  • 在设备被标记为不符合之前,请允许其有时间进行升级。

显示符合性策略的屏幕截图,其中包含Microsoft Intune管理中心中的不合规操作。

如果将符合性策略与条件访问 (CA) 相结合,则可以阻止用户访问资源,直到他们满足 OS 版本要求。

有关合规性策略的详细信息,请转到:

使用应用保护策略

✅ 在访问组织资源的非托管个人设备上使用应用保护策略。

在应用级别,可以使用应用保护策略来确定最低 OS 和修补程序版本。

当用户打开或恢复由你管理的应用时,应用保护策略可以提示用户升级 OS。 在策略中,如果他们运行的版本不符合你的要求,则可以警告用户需要新的 OS 版本,或阻止访问:

显示Microsoft Intune管理中心的应用保护策略中基于设备的条件的屏幕截图。

有关应用保护策略的详细信息,请转到应用保护策略概述

使用自定义通知

✅ 创建自定义通知,以提醒用户即将推出的 OS 版本要求。 使用此功能主动与用户通信以更新其设备,以便他们不会失去访问权限:

显示Microsoft Intune管理中心中的自定义通知消息的屏幕截图。

请记住,如果无法强制或控制 OS 更新(这在个人设备上很常见),则最终用户需要更新自己的设备。

有关此类功能的详细信息,请参阅: