Microsoft Intune 中受控 macOS 裝置的軟體更新規劃指南
讓裝置保持最新狀態與更新非常重要。 系統管理員必須盡其所能來降低安全性事件的風險,並以最少的業務 & 用戶中斷來降低此風險。
Intune 具有可管理軟體更新的內建原則。 針對macOS裝置,您可以使用 Intune來管理裝置更新、設定裝置更新時間,以及檢閱裝置更新狀態。
使用本文作為已註冊及受控macOS裝置的系統管理員指南。 此資訊可協助您管理組織擁有裝置上的軟體更新。
本文適用於:
- 在 Intune 中註冊的macOS裝置
提示
如果您的裝置是個人擁有的,請移至 個人裝置的軟體更新系統管理員指南。
開始之前
若要更快速地安裝更新並避免延遲,請確定裝置為:
- 開啟電源;未關機,但可以是睡眠狀態
- 外掛程式
- 線上到因特網
使用原則管理更新
✅ 請建立可更新裝置的原則。 請勿將此責任放在使用者上。
根據預設,使用者會收到通知和/或查看其裝置上可用的最新更新, (設定>一般>軟體 匯報) 。 用戶可以選擇隨時下載並安裝更新。
他們也可以使用裝置上的自動 匯報 功能來變更更新行為 (設定>軟體 匯報) :
當使用者安裝自己的更新 (而非管理更新) 的系統管理員時,可能會中斷用戶生產力和商務工作。 例如:
用戶可以套用貴組織尚未核准的更新。 這種情況可能會造成應用程式相容性的問題,或操作系統或使用者體驗的變更導致裝置使用中斷。
基於安全性或應用程式相容性理由,使用者可以避免套用所需的更新。 此延遲可能會讓裝置面臨風險和/或使裝置無法運作。
用戶可以完全停用檢查新的更新。
由於這些潛在問題,Microsoft建議您評估您的使用案例,並部署原則來管理更新體驗,以將業務的風險和中斷降到最低。
組織擁有裝置的 管理員 步驟
若要更新貴組織所擁有的macOS裝置,Microsoft建議下列功能。 您也可以使用這些功能作為您自己更新策略的起點。
使用 DDM 設定 - macOS 14.0+:在 macOS 14.0 和更新版本的裝置上,使用受控軟體更新來設定 Apple 的宣告式裝置管理 (DDM) 。
您可以在macOS 14+ 裝置上使用 MDM 設定,但不建議使用。 請改用 DDM 設定。
使用 MDM 設定 - macOS 13 及更舊版本:在 macOS 13 和較舊的裝置上,使用軟體更新原則來管理何時安裝更新,以及使用設定目錄原則來管理更新的安裝方式。
設定和部署微調:此社群工具會在有可用的更新時,快速提示使用者。 如果前兩個原則不會鼓勵終端使用者安裝更新,則 Nudge 會提醒他們。
針對更新狀態使用內建報告:部署更新原則之後,您可以使用報告功能來檢查更新的狀態。
macOS 14 和更新版本
✅ 使用受控軟體更新來設定Apple的宣告式裝置管理 (DDM)
DDM 是管理設定的新方式。 透過 DDM,您可以依強制期限安裝特定更新。 DDM 的獨立本質提供改善的用戶體驗,因為裝置會處理整個軟體更新生命週期。 它會提示使用者有可用的更新,也會下載、準備裝置以進行安裝,& 安裝更新。
您可以使用 Apple 的宣告式裝置管理 (DDM) 來管理下列版本的軟體更新:
- macOS 14 和更新版本
這些設定可在 Intune 設定目錄中設定。 如需詳細資訊,請移至具有 設定目錄的受控軟體更新。
macOS 13 及更舊版本
在macOS 13版和更舊版本上,您可以使用Apple內建的 MDM 設定來 Intune。 針對這些裝置,請使用下列原則:
建立軟體更新原則:此原則會強制在方便的時間下載並安裝更新。 根據您輸入的設定,系統不會提示使用者,而且在安裝更新時不需要使用裝置。
建立設定目錄原則:此原則可防止終端使用者停用更新檢查。 它也會將裝置設定為檢查更新,並定期提示使用者。
這兩個原則會一起運作,以管理更新體驗。 本節著重於這些步驟。
注意事項
如果您的裝置執行 macOS 14+,請使用本文中 macOS 14 和更新 版本 (中所述的 DDM 設定) 。 不建議在macOS 14和更新版本上使用軟體更新原則和設定目錄原則。
✅ 步驟 1 - 使用軟體更新原則來管理安裝更新的時機
在軟體更新原則中,您可以管理何時安裝重大更新和韌體更新。 您也可以管理使用者在強制安裝更新之前可以延遲更新的次數。
對於大部分的組織,Microsoft建議您設定 軟體更新原則中可用的設定。
在 Intune 系統管理中心,移至 [裝置>][Apple Updates > macOS 更新原則]。 進行下列設定:
更新原則行為設定
- 重大更新:稍後安裝
- 韌體更新:稍後安裝
- 組態檔更新:稍後安裝
-
所有其他更新 (操作系統、內建應用程式) :稍後安裝
- 用戶延遲上限:5
- 優先順序:高
注意事項
- 在最新的 macOS 組建上,幾乎所有更新都會顯示為組 態數據檔 或 所有其他更新。 所有其他更新設定大多是舊版 macOS 組建的舊版更新。
- Intune 服務會使用這些設定中指定的時間。 時間不是本機裝置時間。 請留意設定維護時段時的時間差異,特別是全域環境。
更新原則排程設定
- 排程類型:下次簽入時更新
您可以將值變更為慣用的排程時間。 某些值可能只會影響次要更新,而不會影響主要更新。
如需這些設定的特定步驟及其值 & 詳細資訊,請移至管理 Intune 中的macOS軟體更新原則。
使用者體驗
使用這些設定時,此原則會鎖定這些設定,讓使用者無法變更這些設定。 原則也:
每次裝置使用 Intune 服務簽入時,都會檢查更新。 如果有可用的更新,則會自動下載更新。
裝置會尋找未使用裝置的時段。
- 如果未使用裝置,則原則會嘗試自動安裝更新。
- 如果正在使用裝置,則使用者可以選擇安裝更新,或將安裝延遲最多五次。 請務必鼓勵終端使用者在可用時安裝更新。
下列影像顯示終端使用者在可用更新時可以看到的提示:
如果終端使用者使用所有延遲,則會強制安裝更新。 針對強制安裝,重新啟動不會提示使用者,而且可能會導致數據遺失。
✅ 步驟 2 - 使用設定目錄原則來管理更新的安裝方式
Intune 設定目錄也包含可協助管理軟體更新的設定。 您可以將裝置設定為在可用時自動安裝更新,包括應用程式更新。
此設定目錄原則適用於 步驟 1 - 使用軟體更新原則來管理安裝更新 的時機 (本文) 。 它可確保裝置正在檢查更新,並提示使用者安裝更新。 終端使用者仍然需要採取動作才能完成安裝。
在 Intune 系統管理中心,移至 [裝置>管理裝置>>] [組態設定] 目錄 > [軟體更新]。 進行下列設定:
- 允許發行前安裝:False
- 自動下載:True
- 自動安裝應用程式 匯報:True
- 重大更新安裝:True
- 限制軟體更新需要 管理員 安裝:False
- 設定數據安裝:True
- 自動安裝 MacOS 匯報:True
- 已啟用自動檢查:True
如需設定目錄的詳細資訊,包括如何建立設定目錄原則,請移至 使用設定目錄來設定設定。
使用者體驗
此原則會鎖定這些設定,讓使用者無法變更這些設定。 在裝置上,軟體更新設定會呈現灰色:
請考慮使用微調社群工具
此工具是選擇性的,可協助您 管理用戶體驗。
Microsoft macOS 系統管理社群中的熱門工具是 Nudge。 微調是一種 開放原始碼 工具,可鼓勵終端使用者安裝 macOS 更新。 它為系統管理員提供豐富的設定體驗。
設定並部署微調時,終端使用者會在裝置準備好更新時看到下列範例訊息。 終端使用者也可以選擇更新裝置或延遲更新:
此外,Microsoft殼層腳本存放庫中也有 Nudge 的範例腳本和 Intune 設定原則。 此文稿包含開始使用 Nudge 所需的一切。 請務必使用您的值更新 .mobileconfig
檔案。
使用內建報告來更新狀態
部署更新原則之後,您可以在 Intune 系統管理中心使用報告功能來檢查更新的狀態。
針對每個裝置,您可以查看其更新的目前狀態 (適用於macOS) 的裝置 > macOS > 更新原則: