共用方式為

使用 Microsoft Intune 管理作系統版本

  • 發行項

在現代化行動裝置和桌面平台上,主要更新、修補程式以及新版本的發行速度很快。 您有控制方法可以完全管理 Windows 上的更新和修補程式,但像是 iOS/iPadOS 和 Android 等其他平台則需要終端使用者參與這個流程。 Microsoft Intune 具有可協助在不同平台之間組織作業系統版本管理結構的功能。

Intune 可協助您解決這些常見的案例:

  • 判斷使用者裝置上有哪些作業系統版本
  • 控制對裝置上組織資料的存取權,同時驗證新的作業系統版本
  • 鼓勵/要求終端使用者升級至您的組織所核准的最新作業系統版本
  • 管理整個組織推出到新的作業系統版本

使用行動裝置管理註冊限制 Intune作系統版本控制

透過裝置註冊限制,您可以根據特定裝置屬性來限制裝置在 Intune 中註冊。 目標是允許使用者只註冊符合您組織預期的裝置,並防止註冊不符合規範的裝置,讓他們可以存取您的組織資源。 您可以為下列 平臺建立註冊裝置平臺限制 原則:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

每個平臺類型的裝置平臺限制原則都包含允許的最低和最大作系統版本,如下列 iOS 原則螢幕快照所示:

平台設定限制頁面。

實務做法

組織會使用下列設定,使用裝置類型限制來控制對組織資源的存取:

  1. 使用最低作系統版本,以確保只能在組織中註冊目前和支持的平臺。
  2. 保留未指定的最大作系統 (沒有限制) 或將其設定為您組織已驗證要使用的最後一個版本,以允許時間進行新作系統版本的內部測試。

如需詳細資訊,請 參閱建立裝置平臺限制

作系統版本報告與 Intune 裝置合規性原則的合規性

Intune 裝置合規性政策提供下列工具:

  • 指定定義裝置必要設定的合規性規則。
  • 檢視合規性報告,以瞭解哪些裝置不符合規範,以及原則中的哪些設定。
  • 透過裝置隔離和條件式存取原則對不符合規範的結果採取行動,以防止不符合規範的裝置存取您的組織資源。

如同註冊限制,裝置合規性原則會包含最低和最高作業系統版本。 原則也有合規性時間表,提供寬限期讓使用者符合規範。 裝置合規性原則會讓已註冊的用戶裝置符合組織的預期。

裝置合規性 - 不符合規範之裝置的動作

實務做法

組織使用裝置合規性原則的案例與註冊限制相同。 這些原則會讓使用者使用組織中最新的、經過驗證的作業系統版本。 當終端使用者裝置不符合規範時,可以透過條件式存取來封鎖對組織資源的存取,直到終端使用者位於貴組織支援的作業系統範圍內為止。 終端使用者會收到其不符合規範的通知,並提供他們重新取得存取權的步驟。

如需詳細資訊, 請參閱開始使用裝置合規性

使用 Intune 應用程式保護原則的作業系統版本控制

Intune 應用程式保護原則和行動應用程式管理 (MAM) 存取設定可讓您在應用層指定最低作系統版本。 這可讓您通知和建議 (或要求) 您的終端使用者將其作業系統更新為指定的最低版本。

您有兩種選擇:

  • 警告 - 警告會在下列情況通知終端使用者應該升級:如果其開啟的應用程式具有應用程式防護原則或 MAM 存取設定,而他們的裝置作業系統版本低於指定的版本。 允許存取應用程式和組織資料。

    Android 更新警告對話框的影像

  • 封鎖 - 封鎖會在下列情況通知終端使用者必須升級:如果其開啟的應用程式具有應用程式防護原則或 MAM 存取設定,而他們的裝置作業系統版本低於指定的版本。 應用程式和組織數據不允許存取。

    [應用程式存取已封鎖] 對話框的影像

實務做法

組織現在會在應用程式開啟或繼續時使用應用程式保護原則設定,作為教育終端使用者需要保持其應用程式為最新的方式。 一個範例設定是,終端使用者會在目前版本減一時收到警告,並在目前版本減二時遭到封鎖。

如需詳細資訊,請 參閱如何建立和指派應用程式保護原則

使用應用程式保護原則 Intune 管理多個作系統版本

在應用程式保護原則 (APP) 中,您只能在條件式啟動設定中設定一個最低 OS 版本,但您可以建立具有不同最低 OS 值的多個 APP。 不過,由於 APP 會指派給使用者群組,這表示具有多個執行不同作系統版本之裝置的使用者在存取受保護的資源時,可能會面臨衝突的 OS 需求。

若要讓具有不同作系統需求的多個 APP 以相同的使用者為目標,您可以 建立 以應用程式為目標的篩選器,以特定 OS 版本為目標。

Intune 有兩種類型的篩選:受控裝置和受控應用程式。 APP 僅支援 Managed 應用程式篩選器。

建立篩選

若要搭配 APP 使用篩選,您必須為您想要設為目標的每個特定 OS 版本建立篩選條件:

  1. 流覽至 Microsoft Intune 系統管理中心。

  2. 選取 [租使用者管理>篩選]>[建立>受控應用程式]

  3. 在 [ 基本] 頁面上,輸入篩選器的名稱,讓篩選條件更容易識別,然後選取您想要設為目標的平臺,在此範例中為iOS/iPadOS。

  4. 在 [ 規則] 頁面上,為您想要的目標主要OS版本建立篩選,例如 Property=osVersion (OS 版本) Operator=StartsWith, Value=18。

  • 選擇性:您可以使用 [預覽] 按鈕來檢查符合指定篩選條件的 裝置、使用者和應用程式
  1. 在 [ 檢閱並建立] 頁面上,選取 [建立] 以儲存篩選 條件。

重複這些步驟,為您想要設為目標的每個平臺和主要OS版本建立額外的篩選,例如iOS 16和17。

使用篩選器建立和目標應用程式

  1. 流覽至 Microsoft Intune 系統管理中心。

  2. 選取 [應用程式>應用程式防護>原則 建立原則> 選擇您想要以應用程式為目標的平臺,例如 iOS/iPadOS。

  3. 在 [ 基本] 頁面上,輸入可輕鬆識別的原則名稱。

  4. 使用符合組織需求的 iOSAndroidWindows 應用程式保護原則設定,完成 [應用程式]、[資料保護] 和 [存取需求] 頁面。 在 Windows APP) 之 [條件式啟動] 頁面 (或 [健康情況檢查] 頁面的 [裝置條件] 區段內,設定您想要設定為最低版本的 OS 次要或修補程式版本。 例如,Setting=Min OS version, Value=18.2.1, Action=Block access/Wipe data/Warn,根據您組織所需的動作。

  5. 在 [ 指派] 頁面上,使用先前建立的篩選,將原則指派的範圍設定為正確的主要作系統版本。

  6. 在 [ 檢閱並建立] 頁面上,選取 [建立] 來儲存 原則。

在顯示的範例中,篩選條件會以執行 iOS 18 的裝置為目標,而 APP 條件式啟動設定將需要 18.2.1,以確保 APP 不會套用至在其他主要 iOS 版本上執行的裝置。

針對每個作系統版本建立額外的 APP,例如:

  • iOS 16 的第二個原則: 條件式啟動、裝置條件、最低 OS 版本=16.7.10、篩選、OS 版本、StartsWith=16。

  • iOS 17 的第三個原則: 條件式啟動、裝置條件、 最低 OS 版本=17.7.2、篩選 OS 版本 StartsWith=17。

實務做法

組織可以建立多個需要不同最低 OS 版本的 APP。 如此一來,您就可以篩選這些 APP 的指派,只套用至每個主要 OS 版本。 這可確保每個應用程式都與其指派的特定 OS 版本相容,並提供量身打造的應用程式保護方法。

當作系統廠商發行新的次要 OS 更新或修補程式時,您也可以使用新的最低 OS 版本來更新每個應用程式。 此持續更新程式可確保您的組織一律使用最新的作系統版本來保持安全。 讓您的應用程式和 OS 版本保持在最新狀態,有助於防範弱點,並增強整體安全性。

管理新的作業系統版本推出

您可以使用本文中所述的 Intune 功能,協助您在定義的時間軸內,將組織裝置移至新的作系統版本。 下列步驟提供範例部署模型,以在七天內將您的使用者從作業系統 v1 移到作業系統 v2。

  1. 使用 裝置註冊限制 ,要求作系統 v2 作為註冊裝置的最低版本。 這可確保新的使用者裝置在註冊時即符合規範。
  2. 當受保護的應用程式開啟或繼續需要較新的作系統 v2 時,請使用 Intune 應用程式保護原則來警告使用者。
  3. 使用 裝置合規性原則 ,要求將作系統 v2 作為裝置符合規範的最低版本。 使用 不符合規範的動作 來允許 7 天的寬限期,並以您的時程表和需求傳送電子郵件通知給使用者。
    • 這些原則可以通知終端使用者,必須透過電子郵件、Intune 公司入口網站 更新其裝置,以及針對使用應用程式保護原則啟用的應用程式開啟應用程式時更新。
    • 您可以執行合規性報告,以識別不符合規範的使用者。
  4. 如果裝置未執行作系統 v2,請使用 Intune 應用程式保護原則,在應用程式開啟或繼續時封鎖使用者。
  5. 使用裝置合規性原則,要求作業系統 v2 作為裝置符合規範的最低版本。
    • 這些原則會要求裝置更新,以便它們能繼續存取組織的資料。 與裝置條件式存取搭配使用時,即會封鎖受保護的服務。 已啟用應用程式保護原則的應用程式,會在開啟時或存取組織資料時遭到封鎖。

後續步驟

使用下列資源來管理組織中使用的作系統版本: