在 Intune 中管理 iOS/iPadOS 软件更新策略

可以使用Microsoft Intune设备配置文件来管理注册为受监督设备的 iOS/iPad 设备的软件更新。

受监督设备是通过 Apple 自动设备注册 (ADE) 选项之一进行注册的设备。 通过 ADE 注册的设备支持通过移动设备管理解决方案（如 Intune）来管理控制。 ADE 选项包括 Apple Business Manager 或 Apple School Manager。

此功能适用于：

• iOS 10.3 及更高版本（受监督）
• iPadOS 13.0 及更高版本（受监督）

提示

可以使用 Intune 设置目录来管理声明性软件更新。 声明性设备管理 (DDM) 在设备处理整个软件更新生命周期时提供改进的用户体验。 有关详细信息，请转到 使用设置目录管理软件更新。

使用 iOS 软件更新的策略，可以：

• 选择部署可用的 最新更新，或根据更新版本号选择部署较旧的更新。

  部署较旧的更新时，还必须部署设备限制配置文件以 限制软件更新的可见性。 更新配置文件不会阻止用户手动更新 OS。 可以使用限制软件更新可见性的设备配置策略阻止用户手动更新操作系统。

• 指定一个计划，确定安装更新的时间。 计划可以像下次设备签入时安装更新一样简单。 或者，创建可以安装更新或阻止安装更新的日期和时间范围。

  默认情况下，设备大约每 8 小时检查一次Intune。 如果通过更新策略提供更新，则该设备会下载该更新。 然后，设备会在下一次在计划配置中签入时安装更新。

注意

• 发送到 共享 iPad 的 iOS/iPadOS 软件更新仅在设备充电且设备上没有用户登录到 共享 iPad 会话 时安装。 iPad 必须注销所有用户帐户并接入电源，设备才能成功更新。

• 如果使用自治单应用模式 (ASAM)，则应考虑操作系统更新的影响，因为可能由此产生不良行为。 考虑进行测试，评估操作系统更新对你在 ASAM 中运行的应用的影响。 可以使用Intune设备限制配置文件来配置 ASAM。

提示

如果你不熟悉如何配置软件更新，或者想要一些基于常见方案的指南，请转到：

• 受监督的 iOS/iPadOS 设备的软件更新规划指南
• BYOD 和个人设备的软件更新规划指南

配置更新策略

1. 登录到 Microsoft Intune 管理中心。

2. 选择“设备”>“适用于 iOS/iPadOS 的更新策略”>“创建配置文件”。

3. 在“基本信息”选项卡上，为该策略指定名称并指定描述（可选），然后选择“下一步”。

4. 在“更新策略设置”选项卡上，配置以下选项：

   

   1. 选择要安装的版本。 可以选择：

      • 最新更新：为 iOS/iPadOS 部署最近发布的更新。
      • 下拉框中提供的任何早期版本。 如果选择早期版本，则还必须部署设备配置策略，以延迟显示软件更新。

   2. 计划类型：配置该策略的计划：

      • 在下一次签入时更新：更新将在设备下一次通过 Intune 签入时进行安装。 这是最简单的选项，无需其他配置。
      • 在计划时间内更新：配置一个或多个时间窗口，在此期间，更新在检查安装。
      • 在计划时间之外更新：配置一个或多个时间窗口。 在这些窗口中，更新不会在检查时安装。

   3. 每周计划：如果选择的计划类型不是“下次签入时更新”，请配置以下选项：

      

      • 时区：选择时区。

      • 时间容器：定义一个或多个限制更新安装时间的时间段。 以下选项的效果取决于所选的计划类型。 通过使用开始日期和结束日期，可以支持隔夜的时间段。 选项包括：

        • 开始日期：选择计划时段开始的日期。
        • 开始时间：选择计划时段开始的时间。 例如，选择“上午 5 点”，计划类型为“ 在计划时间内更新”。 在此方案中，5 AM 是可以开始安装更新的时间。 如果选择“计划”类型的 “更新”超出计划时间，则凌晨 5 点是无法安装更新的时间段的开始时间。
        • 结束日期：选择计划时段结束的日期。
        • 结束时间：选择计划时段结束的时间。 例如，选择“凌晨 1 点”，并将“计划”类型为“ 在计划时间内更新”。 在此方案中，凌晨 1 点是无法再安装更新的时间。 如果选择了“计划”类型的 “更新”，则“上午 1”是可以安装更新的时间段的开始时间。

      如果未配置开始时间或结束时间，则配置不会产生限制，随时都可以安装更新。

      注意

      可在设备限制配置文件中配置设置，使更新于一段时间内在受监督的 iOS/iPadOS 设备上对设备用户不可见。 通过限制期，可在更新可供用户安装之前留出时间对其进行测试。 设备限制期限到期后，用户便可看到该更新。 然后，用户可选择安装更新，否则软件更新策略可能会在不久后自动安装它。

      使用设备限制隐藏更新时，请查看软件更新策略，确保它们不会在该限制期间结束之前计划安装更新。 软件更新策略会根据自己的计划来安装更新，而不管更新对设备用户是隐藏的还是可见的。

   配置“更新策略设置”之后，选择“下一步”。

5. 如果 可用，请在“ 范围标记 ”选项卡上，选择“ + 选择范围标记 ”以打开“ 选择标记 ”窗格（如果要将它们应用于更新策略）。

   • 在“选择标记”窗格中，选择一个或多个标记，然后单击“选择”以将其添加到策略，并返回到“作用域标记”窗格。

   准备就绪后，选择“下一步”，转到“分配”。

6. 在“分配”选项卡上，选择“+ 选择要包括的组”，然后将更新策略分配到一个或多个组。 使用“+ 选择要排除的组”对分配进行相应调整。 准备就绪后，选择“下一步”继续操作。

   需对策略目标用户所用的设备进行更新符合性评估。 此策略还支持无用户设备。

7. 在“查看 + 创建”选项卡中，查看设置，然后在已准备好保存 iOS/iPadOS 更新策略时选择“创建”。 新策略显示在 iOS/iPadOS 更新策略列表中。

注意

无法使用 Intune 软件更新策略来降低设备上的操作系统版本级别。

编辑现有策略

可以编辑现有策略，包括更改限制时间：

1. 选择“设备”>“适用于 iOS 的更新策略”。 选择想要编辑的策略。

2. 在查看策略“属性”时，为要修改的策略页面选择“编辑”。

   

3. 进行更改后，选择“查看 + 保存”>“保存”，保存所做的修改，然后返回策略“属性”。

注意

如果“开始时间”和“结束时间”都设为凌晨 12 点，则 Intune 不会检查有关更新安装时间的限制。 这意味着将忽略已有的任何“选择阻止安装更新的时间”配置，结果是可以随时安装更新。

延迟软件更新的可见性

使用 iOS 更新策略时，可能需要延迟 iOS 软件更新的可见性。 延迟可见性的原因包括：

• 阻止用户手动更新 OS
• 部署较旧的更新，同时阻止用户安装较新的更新

若要延迟可见性，请部署配置以下设置的设备限制模板：

• 推迟软件更新 = 是的
  这不会影响任何已计划的更新。 它表示软件更新从发布到对最终用户可见之间的天数。

• 延迟软件更新的可见性的默认时间 = 190
  90 天是 Apple 支持的最大延迟时间。

设备限制模板是设备配置策略的一部分。

有关Intune支持团队的指导，请参阅Intune客户成功博客延迟受监督 iOS 设备的Intune软件更新可见性。

监视设备上的更新安装失败

在Microsoft Intune管理中心中，转到“设备>”“监视>iOS 设备的安装失败”。

Intune 将显示更新策略所针对的受监督的 iOS/iPadOS 设备的列表。 此列表不包括最新和运行状况良好的设备，因为 iOS/iPad 设备仅返回有关安装失败的信息。

对于列表中的每台设备， “安装状态 ”将显示设备返回的错误。 要查看可能的安装状态值列表，请在“iOS 设备安装失败”页上选择“筛选器”，然后展开“安装状态”的下拉列表。

后续步骤

• 监视设备配置文件
• Intune中受监督的 iOS/iPadOS 设备的软件更新管理指南