Microsoft Intune 中受監督 iOS/iPadOS 裝置的軟體更新規劃指南和案例
讓您的行動裝置保持在軟體更新的狀態非常重要。 您必須降低安全性事件的風險,並將對組織和用戶的干擾降到最低。 在 iOS/iPadOS 受監督的裝置上,Intune 具有可管理軟體更新的內建原則。
本文包含系統管理員檢查清單,可協助您開始在iOS/iPadOS受監督裝置上使用軟體更新。 它也會列出您可以在環境中設定的常見產業案例和範例原則。
如需建立軟體更新原則的特定步驟,請移至管理 Intune 中的iOS/iPadOS 軟體更新原則。
本文適用於:
- 在 Intune 中註冊的 iOS/iPadOS 受監督裝置
提示
如果您的裝置是個人擁有的,請移至 個人裝置的軟體更新規劃指南。
管理員 組織擁有裝置的檢查清單
本節列出Microsoft建議的指導方針和在裝置上安裝軟體更新的策略。
✅ 使用原則管理更新
建議您建立更新裝置的原則。 不建議將此責任放在使用者上。
根據預設,使用者會收到通知和/或查看其裝置上可用的最新更新, (> 設定一般>軟體 匯報) 。 用戶可以選擇隨時下載並安裝更新。
當使用者安裝自己的更新 (而非管理更新) 的系統管理員時,可能會中斷用戶生產力和商務工作。 例如:
用戶可以視需要啟動更新,而且在安裝更新時可能無法運作。
用戶可以套用貴組織尚未核准的更新。 此決策可能會造成應用程式相容性、操作系統變更,或用戶體驗中斷裝置使用的問題。
使用者可以避免套用會影響安全性或應用程式相容性的必要更新。 這種情況可能會讓裝置面臨風險和/或使裝置無法運作。
✅ 保持啟用自動更新
從 iOS/iPadOS 12 開始,當有可用的更新時,Apple 裝置會自動安裝更新。 根據預設,這項功能會在新裝置上啟用。 保持啟用此功能。
若要更快速地使用此自動修補和安裝更新,請確定裝置為:
- 開啟電源
- 外掛程式
- 線上到因特網
當裝置開啟、插入電源並連線到因特網時,更新會自動下載 & 安裝,然後裝置重新啟動。 如果裝置不符合這些條件,則更新不會自動下載並安裝。
若要讓裝置保持在最新版本上,並盡可能輕鬆地使用,請保持啟用自動更新功能:
自動更新與其他更新原則搭配運作,可為系統管理員和使用者提供正面體驗。
使用 Intune 原則,您也可以強制使用者更新其裝置:
- 使用 註冊限制 來防止用戶註冊非目前的裝置。
- 建立 合規性原則 來判斷未更新的裝置。
- 建立 條件式存取 (CA) 原則 來封鎖未更新的裝置。 CA 原則也可以提示使用者安裝目前的更新,讓他們重新取得存取權。
您需要知道的事項
如果自動更新功能已停用,則由於OS限制,無法使用原則加以變更。 必須在裝置上手動變更設定,否則必須重設 & 重新布建裝置。
如果裝置已設定 PIN,則若要啟動軟體更新,您必須輸入 PIN。 輸入 PIN 通常不是資訊工作者 1:1 裝置的問題。
規劃 kiosk、工廠或無使用者案例的更新時,您可能需要調整程式以配合 PIN 行為。
✅ 使用內建設定
若要管理更新,Apple 有下列選項:
DDM) (宣告式裝置管理
在 iOS/iPadOS 17.0 和更新版本上,您可以使用 Apple 的宣告式裝置管理 (DDM) 來管理軟體更新。 DDM 是管理具有改良用戶體驗之裝置的新方式,因為裝置會處理整個軟體更新生命週期。 它會提示使用者有可用的更新,也會下載、準備裝置以進行安裝,& 安裝更新。
建議使用 DDM 來管理 iOS/iPadOS 17+ 裝置上的更新。 您可以在這些裝置上使用 MDM 設定,但不建議使用。 請改用 DDM 設定。
這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至具有 設定目錄的受控軟體更新。
軟體更新原則
這些 MDM 原則提供特定版本的受控推出。 您也可以強制舊版上的裝置升級。 系統管理員可以輸入 iOS/iPadOS 版本來安裝和排程安裝。
這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至在 Intune 中管理 iOS/iPadOS 軟體更新原則。
軟體更新延遲原則
這些 MDM 原則會隱藏更新最多 90 天。 它們可防止使用者將裝置手動更新為尚未核准的版本。 此功能無法控制何時套用更新。
這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至在 Intune 中管理 iOS/iPadOS 軟體更新原則。
透過這些功能,系統管理員可以確定其 Apple 裝置正在執行特定的軟體版本,並可控制其裝置上的更新版本。
✅ 建立支持許多時區的原則
所有原則時間都使用國際標準時間 (UTC) 。 不會使用裝置的本機時區。
若要將您必須建立和管理的原則數目降至最低,請建立支持許多時區的組態。 請勿為每個時區建立個別的原則。
例如,在 美國 中,有四個主要時區:太平洋 (UTC-8) 、Mountain (UTC-7) 、Central (UTC-6) 和東部 (UTC-5) 。 您可以為每個時區建立個別的原則。 或者,建立一或兩個可達到相同結果的原則。
✅ 請小心使用版本設定
當您建立軟體更新原則時,請留意所有原則中版本詳細數據的更大影響。
例如:
您設定的原則會延遲更新 90 天。 如果有需要裝置具有最新 iOS/iPadOS 版本的註冊限制原則,則在裝置重設之後,裝置可能會遭到封鎖而無法註冊。
您建立的合規性政策需要最新的最低 iOS/iPadOS 版本。 使用此原則時,較舊版本上的裝置會變成不符合規範。 如果您使用條件式存取來強制執行合規性,則使用者會遭到封鎖且無法運作。
常見的產業案例
Apple 裝置用於各種產業,包括企業、零售、製造和教育。 大部分的裝置使用案例都可以分類為下列類型:
- 1:1:裝置僅供一個人使用。
- 共用:裝置由一個以上的人員使用。
- 專用:裝置用於特定的商務用途,例如 kiosk 或數位告示。
下表包含本文使用的常見產業術語:
產業 | 術語 | 使用案例 |
---|---|---|
大型企業 | 知識工作者 | 1:1 |
零售業 | Kiosk | 耿耿 |
製造 | 處理站機器 | 任務關鍵性 |
Education | 指派的裝置 | 共用 |
本節說明一些常見的產業案例,並提供 Intune 原則的範例。
知識工作者
此群組是具備在企業和組織中工作知識的人員。 他們的知識和思考能力是他們的工作。 一些範例包括工程師、內容開發人員、程式設計人員、顧問、通訊、顧問等等。
知識工作者通常會有自己的裝置,只供他們使用。 它不會與其他使用者或其他知識工作者共用。
在知識工作者裝置之類的案例中,主要目標是讓更新程式盡可能簡單快速。 其應用程式大多是以市集為基礎,而且應用程式應該與最新的操作系統版本保持相容。 在這些裝置上,使用者通常會容許提示更新和/或選擇方便重新啟動的時間。
這些裝置的更新原則和優先順序通常包括:
- 基本更新組態
- 最新的最新版本
- Automatic updates
案例範例:
您正在 Contoso 為知識工作者設定更新設定檔。 這些使用者大多使用 Microsoft 365 應用程式和數個大量採購方案 (VPP) 應用程式。
身為系統管理員,您很熟悉:
- 這些裝置執行最新發行的 iOS/iPadOS 版本
- 在裝置簽入時立即下載並安裝更新 Intune
- 允許使用者決定何時安裝更新,並重新啟動其裝置以套用更新
若要完成這些目標,您可以使用具有下列預設設定的原則:
亭
這些裝置通常是店內零售裝置,而且可以是桌面電腦或行動裝置。 員工會使用這些服務來為客戶提供服務,並由客戶直接用於自助工作。 它們也可以是所有客戶在內部部署時看到的視覺效果顯示。
在類似 kiosk 的案例中,更新裝置的主要目標是:
- 請確定裝置目前具有核准的 OS 更新。
- 系統管理員會管理更新和任何版本設定。
- 安裝和重新啟動會在上班時間之後發生。
這些裝置的更新原則和優先順序通常包括:
- 基本更新組態
- 可預測的版本控制
- 可預測的發行週期
案例範例:
您要在 Contoso 設定 kiosk 裝置的 iOS/iPadOS 更新設定檔。 這些裝置會在零售商店中運作。 您的員工會使用裝置每周 7 天為客戶提供服務,包括延長零售時數。 裝置會執行單一商務 (LOB) kiosk 應用程式,此應用程式是由 Contoso 內部開發。 此內部應用程式只會每季進行測試和驗證。
您想要部署此 LOB 應用程式最近測試過的特定 iOS/iPadOS 版本,也就是 iOS 16.3。 如果此 kiosk 應用程式無法正常運作,零售商店就無法為客戶提供服務。 當零售商店對客戶關閉時,裝置會連線到 Wi-Fi,並在一夜收費。
您選擇一個 10 小時的夜間維護視窗,在市集開啟之前,可以下載並套用更新。
若要完成這項工作,請使用下列設定建立原則:
處理站機器
這些裝置通常是單一用途的裝置。 它們用於任務關鍵性區域,例如製造線或特製化設備控制 & 監視。 例如,它可以是執行控件的 Android 平板電腦,或是用於捲動元件之裝置的監視軟體。
在工廠機器案例中,主要目標是確保裝置以一致的方式運作。 匯報 可能需要延遲,才能完成所有應用程式相容性測試。 安裝和重新啟動會在特定時間發生,通常會以階段式方法部署。
這些裝置的更新原則和優先順序通常包括:
- 進階原則設定
- 嚴格的版本控制
- 緩慢的發行週期
案例範例:
您要在 Contoso 的工業設施,為製造樓層上的裝置設定更新配置檔。 此設施一年執行 24x7、365 天,但安全檢查的強制停工時數小時除外。 這些檢查會每周的星期日早上一早發生。
這些裝置會執行兩個廠商應用程式。 若要保持在支援的設定中,這兩個應用程式不常更新,而且必須執行特定版本的應用程式和作業系統。
您想要將特定、較舊的 iOS/iPadOS 版本 (15) 部署到這些裝置,因為應用程式廠商尚不支援更新版本。 由於裝置幾乎一律都在使用中,因此您在星期日每周只有一次小型維護期間。
您想要在星期日的兩小時停機期間隔夜排程更新。
若要完成這項工作,請使用下列設定建立原則:
共用的裝置
共用裝置是由許多通常登入和註銷裝置的使用者使用,包括教育環境。 這些裝置可以是終端機/桌面電腦、Tablet、膝上型電腦和智慧型手機。 它們通常用於辦公室、教室和零售商店。
如需管理共用 iOS/iPadOS 裝置的詳細資訊,請移至 iOS/iPadOS 的共用裝置解決方案。
針對 iOS/iPadOS 共用裝置,若要套用更新,所有使用者都必須註銷。使用者可以註銷或重新啟動裝置,這會自動註銷使用者。
這些裝置的更新原則和優先順序通常包括:
- 進階原則設定
- 可預測的版本控制
- 受控更新行為
案例範例:
在早上,UserA 登入裝置,以在出樓前檢查電子郵件。 一小時后,UserB 會使用相同的裝置來執行一些 LOB 應用程式。
您必須設定此共享裝置的更新。 這些共用裝置是由辦公室的一般知識工作者使用,時間為上午 8 點 – 下午 5 點,星期一到星期五。 您想要使用最新 iOS/iPadOS 版本的裝置,以支援共用裝置上使用的所有應用程式。
若要盡可能讓原則保持簡單,您想要在一般工作時間以外安裝更新,再加上一小時以進行重新啟動或其他動作。
若要完成這項工作,此案例牽涉到兩個原則:
在第一個原則中,您想要讓所有用戶註銷,或想要在一段時間后重新啟動裝置。 您可以建立 Apple Business Manager 註冊設定檔,以註銷閒置超過 15 分鐘 (900 秒) 的任何使用者:
在第二個原則中,使用下列設定來排程更新: