使用更新使设备保持最新状态至关重要。 管理员必须尽其所能来降低安全事件的风险,并在尽量减少对业务 & 用户的中断的情况下降低此风险。
Intune 具有可管理软件更新的内置策略。 对于 macOS 设备,可以使用 Intune 管理设备更新、配置设备更新时间以及查看设备更新状态。
使用本文作为已注册和托管 macOS 设备的管理员指南。 此信息可帮助你管理组织拥有的设备上的软件更新。
本文适用于:
- 在 Intune 中注册的 macOS 设备
提示
- 如果你的设备是个人拥有的,请转到 个人设备的软件更新管理指南。
- Apple 已弃用基于 MDM 的软件更新工作负载。 Microsoft建议改用 DDM 来安装更新 。 有关这些更改的详细信息,请参阅 转为 Apple 软件更新的声明性设备管理的支持提示。
开始之前
若要更快地安装更新并避免延迟,请确保设备:
- 已打开;未关闭,但可以是睡眠状态
- 已接通电源
- 已连接到 Internet
使用策略管理更新
✅ 请创建用于更新设备的策略。
默认情况下,用户会收到通知和/或查看其设备上提供的最新更新 (“常规>软件”>汇报) 。 用户可以选择随时下载和安装更新。
他们还可以使用设备上的自动汇报功能更改更新行为, (设置>软件汇报) :
当用户安装自己的更新 (而不是管理员管理更新) 时,可能会中断用户的工作效率和业务任务。 例如:
用户可以应用组织未批准的更新。 这种情况可能会导致应用程序兼容性问题,或者作系统或用户体验发生更改,从而中断设备使用。
用户可以避免应用出于安全或应用兼容性原因而需要的更新。 这种延迟可能会使设备面临风险和/或阻止设备正常运行。
用户可以完全禁用检查新更新。
由于存在这些潜在问题,Microsoft建议评估用例方案并部署策略来管理更新体验,以最大程度地降低业务风险和中断。
组织拥有的设备管理员步骤
若要更新组织拥有的 macOS 设备,Microsoft建议使用以下功能。 还可以将这些功能用作自己的更新策略的起点。
✅ 在 macOS 14 及更新版本上使用 DDM 托管的软件更新
在 macOS 14 及更新设备上,使用 Apple 的声明性设备管理 (DDM) 在强制截止时间之前安装特定更新。
DDM 是管理设置的新式方法。 DDM 的独立性质提供了改进的用户体验,因为设备处理整个软件更新生命周期。 它提示用户更新可用,并下载更新,准备设备进行安装,& 安装更新。
请勿在这些设备上使用基于 MDM 的软件更新策略设置,因为 Apple 已弃用 MDM 策略。
DDM 设置可在 Intune 设置目录中配置。 有关详细信息,请转到 包含设置目录的托管软件更新。
✅ 在 macOS 13 及更早版本上使用 MDM
在 macOS 版本 13 及更早版本上,可以使用 Intune 内置的 Apple MDM 设置。 对于这些设备,可以创建两个策略,它们共同管理更新体验。 第一个策略管理安装更新的时间,第二个策略管理更新的安装方式。
步骤 1 - 使用软件更新策略管理安装更新的时间
在软件更新策略中,可以管理安装关键更新和固件更新的时间。 还可以管理用户在强制安装更新之前可以延迟更新的次数。 根据输入的设置,安装更新时,用户不会收到提示,也不需要使用设备。
对于大多数组织,Microsoft建议配置 软件更新策略中可用的设置。
在 Intune 管理中心,转到 “设备” > “Apple 更新 > macOS 更新策略”。
配置以下设置:
更新策略行为设置
- 关键更新:稍后安装
- 固件更新:稍后安装
- 配置文件更新:稍后安装
-
所有其他更新 (OS、内置应用) :稍后安装
- 最大用户延迟数:5
- 优先级:高
注意
- 在最近的 macOS 版本中,几乎所有更新都显示为 配置数据文件 或 所有其他更新。 所有其他更新设置大多是旧版 macOS 的旧更新。
- Intune 服务使用这些设置中指定的时间。 时间不是本地设备时间。 配置维护时段时,请注意时差,尤其是全局环境。
更新策略计划设置
- 计划类型:在下一检查更新
可以将值更改为首选的计划时间。 某些值可能仅影响次要更新,而不会影响主要更新。
有关具体步骤以及这些设置 & 其值的详细信息,请转到 在 Intune 中管理 macOS 软件更新策略。
最终用户体验
借助这些设置,此策略会锁定这些设置,以便用户无法更改这些设置。 该策略还:
每次设备使用 Intune 服务签入时,都会检查更新。 如果有可用的更新,则会自动下载这些更新。
设备查找未使用设备的时间段。
- 如果未使用设备,则策略会尝试自动安装更新。
- 如果使用设备,则最终用户可以选择安装更新,或最多将安装延迟五次。 请务必鼓励最终用户在更新可用时安装更新。
下图显示了最终用户在更新可用时可以看到的提示:
如果最终用户使用所有延迟,则强制安装更新。 对于强制安装,重启不会提示最终用户,并可能导致数据丢失。
步骤 2 - 使用设置目录策略管理更新的安装方式
Intune 设置目录包括有助于管理软件更新的设置。 在此步骤中,将创建一个策略,该策略可:
- 将设备配置为在更新可用时自动安装更新,包括应用更新。
- 阻止最终用户禁用更新检查。
- 将设备配置为检查更新并定期提示用户。
此设置目录策略适用于 步骤 1 - 使用软件更新策略管理何时安装更新 (本文) 。 它确保设备正在检查更新并提示用户安装更新。 最终用户仍需要执行作才能完成安装。
在 Intune 管理中心,转到 “设备 > 管理设备 > ”“配置 > 设置”目录 > “”软件更新”。
配置以下设置:
- 允许预发布安装:False
- 自动下载:True
- 自动安装应用汇报:True
- 关键更新安装:True
- 限制软件更新需要安装管理员:False
- 配置数据安装:True
- 自动安装 MacOS 汇报:True
- 启用自动检查:True
有关设置目录的详细信息(包括如何创建设置目录策略),请转到 使用设置目录配置设置。
最终用户体验
此策略锁定这些设置,以便用户无法更改这些设置。 在设备上,软件更新设置灰显:
✅ 考虑使用微移社区工具
此工具是可选的,可以帮助你 管理最终用户体验。
Microsoft macOS 管理员社区中常用的工具是 Nudge。 Nudge 是一种开放源代码社区工具,可鼓励最终用户安装 macOS 更新。 它为管理员提供了丰富的配置体验。
配置和部署 Nudge 后,最终用户在设备准备好更新时会看到以下示例消息。 最终用户还可以选择更新设备或延迟更新:
Microsoft shell 脚本存储库中还有一个示例脚本和 Nudge 的 Intune 配置策略 。 此脚本包括开始使用 Nudge 所需的一切内容。 请确保使用值更新 .mobileconfig 文件。
✅ 对更新状态使用内置报告
部署更新策略后,可以在 Intune 管理中心使用报告功能检查更新的状态。
对于每台设备,可以看到其更新的当前状态 (设备 > macOS macOS > 更新策略的 macOS) :
