Guida alla pianificazione degli aggiornamenti software per i dispositivi macOS gestiti in Microsoft Intune

  • Articolo

Mantenere aggiornati i dispositivi con gli aggiornamenti è fondamentale. Gli amministratori devono fare tutto il possibile per ridurre il rischio di eventi di sicurezza e ridurre questo rischio con interruzioni minime per l'azienda & gli utenti.

Intune include criteri predefiniti in grado di gestire gli aggiornamenti software. Per i dispositivi macOS, è possibile usare Intune per gestire gli aggiornamenti dei dispositivi, configurare quando i dispositivi vengono aggiornati ed esaminare lo stato dell'aggiornamento del dispositivo.

Usare questo articolo come guida per gli amministratori per i dispositivi macOS registrati e gestiti. Queste informazioni consentono di gestire gli aggiornamenti software nei dispositivi di proprietà dell'organizzazione.

Questo articolo si applica a:

  • Dispositivi macOS registrati in Intune

Consiglio

Se i dispositivi sono di proprietà personale, passare alla guida di amministrazione degli aggiornamenti software per i dispositivi personali.

Prima di iniziare

Per installare gli aggiornamenti più velocemente ed evitare ritardi, assicurarsi che i dispositivi siano:

  • Acceso; non arrestato, ma può essere in grado di uno stato di sospensione
  • Collegato
  • Connesso a Internet

Gestire gli aggiornamenti con i criteri

✅ Creare criteri che aggiornano i dispositivi. Non affidare questa responsabilità agli utenti finali.

Per impostazione predefinita, gli utenti ricevono notifiche e/o visualizzano gli aggiornamenti più recenti disponibili nei propri dispositivi (Impostazioni > generali > software Aggiornamenti). Gli utenti possono scegliere di scaricare e installare gli aggiornamenti ogni volta che vogliono.

Possono anche modificare il comportamento di aggiornamento usando la funzionalità Aggiornamenti automatica nel dispositivo (Impostazioni > software Aggiornamenti):

Impostazioni e controlli di aggiornamento predefiniti del sistema operativo in un dispositivo Apple macOS.

Quando gli utenti installano i propri aggiornamenti (anziché gli amministratori che gestiscono gli aggiornamenti), possono compromettere la produttività degli utenti e le attività aziendali. Ad esempio:

  • Gli utenti possono applicare aggiornamenti che l'organizzazione non ha approvato. Questa situazione può causare problemi di compatibilità dell'applicazione o modifiche al sistema operativo o all'esperienza utente che interrompono l'uso del dispositivo.

  • Gli utenti possono evitare di applicare gli aggiornamenti necessari per motivi di sicurezza o compatibilità delle app. Questo ritardo può lasciare i dispositivi a rischio e/o impedire loro di funzionare.

  • Gli utenti possono disabilitare completamente la verifica della disponibilità di nuovi aggiornamenti.

A causa di questi potenziali problemi, Microsoft consiglia di valutare gli scenari dei casi d'uso e di distribuire criteri per gestire l'esperienza di aggiornamento per ridurre al minimo i rischi e le interruzioni per l'azienda.

Amministrazione passaggi per i dispositivi di proprietà dell'organizzazione

Per aggiornare i dispositivi macOS di proprietà dell'organizzazione, Microsoft consiglia le funzionalità seguenti. È anche possibile usare queste funzionalità come punto di partenza per la propria strategia di aggiornamento.

  • Usare le impostazioni DDM - macOS 14.0+: nei dispositivi macOS 14.0 e versioni successive usare gli aggiornamenti software gestiti per configurare la gestione dichiarativa dei dispositivi (DDM) di Apple.

    È possibile usare le impostazioni MDM nei dispositivi macOS 14+ ma non è consigliabile. Usare invece le impostazioni DDM.

  • Usare le impostazioni MDM - macOS 13 e versioni precedenti: nei dispositivi macOS 13 e versioni precedenti usare un criterio di aggiornamento software per gestire quando vengono installati gli aggiornamenti e un criterio del catalogo delle impostazioni per gestire la modalità di installazione degli aggiornamenti.

  • Configurare e distribuire Nudge: questo strumento della community richiede rapidamente agli utenti quando è disponibile un aggiornamento. Se i primi due criteri non motivano gli utenti finali a installare gli aggiornamenti, Nudge li ricorda.

  • Usare la creazione di report predefinita per lo stato dell'aggiornamento: dopo aver distribuito i criteri di aggiornamento, è possibile usare la funzionalità di creazione report per controllare lo stato degli aggiornamenti.

macOS 14 e versioni successive

✅ Usare gli aggiornamenti software gestiti per configurare la gestione dichiarativa dei dispositivi (DDM) di Apple

DDM è un nuovo modo per gestire le impostazioni. Con DDM è possibile installare un aggiornamento specifico entro una scadenza applicata. La natura indipendente di DDM offre un'esperienza utente migliorata, in quanto il dispositivo gestisce l'intero ciclo di vita degli aggiornamenti software. Richiede agli utenti che sia disponibile un aggiornamento e scarica, prepara il dispositivo per l'installazione, & installa l'aggiornamento.

È possibile usare la gestione dichiarativa dei dispositivi (DDM) di Apple per gestire gli aggiornamenti software nelle versioni seguenti:

  • macOS 14 e versioni successive

Queste impostazioni sono configurabili nel catalogo delle impostazioni di Intune. Per altre informazioni, vedere Aggiornamenti software gestiti con il catalogo delle impostazioni.

macOS 13 e versioni precedenti

In macOS versioni 13 e precedenti è possibile usare le impostazioni MDM di Apple incorporate in Intune. Per questi dispositivi, usare i criteri seguenti:

  1. Creare un criterio di aggiornamento software: questo criterio impone il download e l'installazione degli aggiornamenti in un momento conveniente. A seconda delle impostazioni immesse, agli utenti non viene richiesto e non è necessario usare il dispositivo quando vengono installati gli aggiornamenti.

  2. Creare un criterio del catalogo delle impostazioni: questo criterio impedisce agli utenti finali di disabilitare i controlli di aggiornamento. Configura anche il dispositivo per verificare la disponibilità di aggiornamenti e richiedere regolarmente agli utenti.

Entrambi i criteri interagiscono per gestire l'esperienza di aggiornamento. Questa sezione è incentrata su questi passaggi.

Nota

Se i dispositivi eseguono macOS 14 e versioni successive, usare le impostazioni DDM descritte in macOS 14 e versioni successive (in questo articolo). Non è consigliabile usare i criteri di aggiornamento software e i criteri del catalogo delle impostazioni in macOS 14 e versioni successive.

✅ Passaggio 1: Usare un criterio di aggiornamento software per gestire quando vengono installati gli aggiornamenti

In un criterio di aggiornamento software è possibile gestire quando vengono installati aggiornamenti critici e firmware. È anche possibile gestire il numero di volte in cui l'utente può rinviare un aggiornamento prima dell'installazione forzata.

Per la maggior parte delle organizzazioni, Microsoft consiglia di configurare le impostazioni disponibili in un criterio di aggiornamento software.

Nell'interfaccia di amministrazione di Intune passare a Dispositivi Aggiornamenti > apple per i > criteri di aggiornamento macOS. Configurare le seguenti impostazioni:

  • Aggiornare le impostazioni del comportamento dei criteri

    • Aggiornamenti critici: installare in un secondo momento
    • Aggiornamenti del firmware: installare in un secondo momento
    • Aggiornamenti dei file di configurazione: installazione successiva
    • Tutti gli altri aggiornamenti (sistema operativo, app predefinite): installare in un secondo momento
      • Numero massimo di rinvii utente: 5
      • Priorità: Alta

    Nota

    • Nelle build macOS recenti, quasi tutti gli aggiornamenti vengono visualizzati come file di dati di configurazione o tutti gli altri aggiornamenti. Tutte le altre impostazioni degli aggiornamenti sono principalmente aggiornamenti legacy per le build precedenti di macOS.
    • L'ora specificata in queste impostazioni viene usata dal servizio Intune. L'ora non è l'ora del dispositivo locale. Tenere presente le differenze di tempo quando si configura una finestra di manutenzione, in modo espeicale per un ambiente globale.

  • Aggiornare le impostazioni di pianificazione dei criteri

    • Tipo di pianificazione: aggiornamento al successivo check-in

È possibile modificare i valori in orari pianificati preferiti. Alcuni dei valori potrebbero influire solo sugli aggiornamenti secondari e non sugli aggiornamenti principali.

Per i passaggi specifici e altre informazioni su queste impostazioni & relativi valori, vedere Gestire i criteri di aggiornamento software macOS in Intune.

Esperienza utente finale

Con queste impostazioni, questo criterio blocca queste impostazioni in modo che gli utenti non possano modificarle. I criteri inoltre:

  1. Verifica la disponibilità di aggiornamenti ogni volta che il dispositivo esegue l'accesso con il servizio Intune. Se sono disponibili aggiornamenti, vengono scaricati automaticamente.

  2. Il dispositivo trova un periodo di tempo in cui il dispositivo non viene usato.

    • Se il dispositivo non viene usato, il criterio tenta di installare automaticamente l'aggiornamento.
    • Se il dispositivo viene usato, gli utenti finali possono scegliere di installare l'aggiornamento o rinviare l'installazione fino a cinque volte. Assicurarsi di incoraggiare gli utenti finali a installare gli aggiornamenti quando sono disponibili.

    Le immagini seguenti mostrano le richieste che gli utenti finali possono visualizzare quando sono disponibili gli aggiornamenti:

    Richiesta di notifica di esempio per un aggiornamento obbligatorio in un dispositivo Apple macOS.

    Notifica di esempio che un aggiornamento è disponibile in un dispositivo Apple macOS.

  3. Se gli utenti finali usano tutti i rinvii, l'aggiornamento viene forzato. Per un'installazione forzata, un riavvio non richiede all'utente finale e potrebbe causare la perdita di dati.

✅ Passaggio 2: Usare i criteri del catalogo delle impostazioni per gestire il modo in cui vengono installati gli aggiornamenti

Il catalogo delle impostazioni di Intune include anche le impostazioni per gestire gli aggiornamenti software. È possibile configurare il dispositivo per installare automaticamente gli aggiornamenti quando sono disponibili, inclusi gli aggiornamenti delle app.

Questo criterio di catalogo delle impostazioni funziona con il passaggio 1: usare un criterio di aggiornamento software per gestire quando vengono installati gli aggiornamenti (in questo articolo). Verifica che i dispositivi controllino la disponibilità di aggiornamenti e richiedano agli utenti di installarli. Gli utenti finali devono comunque intervenire per completare l'installazione.

Nell'interfaccia di amministrazione di Intune passare a Catalogo impostazioni > configurazione > dispositivi > Aggiornamento software. Configurare le seguenti impostazioni:

  • Consenti installazione non definitiva: False
  • Download automatico: True
  • Installa automaticamente l'app Aggiornamenti: True
  • Installazione degli aggiornamenti critici: True
  • Limitare l'aggiornamento software Richiedere Amministrazione per l'installazione: False
  • Installazione dei dati di configurazione: True
  • Installare automaticamente MacOS Aggiornamenti: True
  • Controllo automatico abilitato: True

Per altre informazioni sul catalogo delle impostazioni, incluso come creare un criterio di catalogo delle impostazioni, vedere Usare il catalogo delle impostazioni per configurare le impostazioni.

Esperienza utente finale

Questo criterio blocca queste impostazioni in modo che gli utenti non possano modificarle. Nel dispositivo le impostazioni di aggiornamento software sono disattivate:

Le impostazioni di aggiornamento software sono disattivate dopo che i criteri di aggiornamento del catalogo delle impostazioni di Intune si applicano a un dispositivo Apple macOS.

Provare a usare lo strumento della community Nudge

Questo strumento è facoltativo e consente di gestire l'esperienza utente finale.

Uno strumento comune all'interno della community di amministrazione di Microsoft macOS è Nudge. Nudge è uno strumento open source che incoraggia gli utenti finali a installare gli aggiornamenti macOS. Offre un'esperienza di configurazione avanzata per gli amministratori.

Quando Nudge è configurato e distribuito, gli utenti finali visualizzano il messaggio di esempio seguente quando il dispositivo è pronto per l'aggiornamento. Gli utenti finali possono anche scegliere di aggiornare il dispositivo o rinviare l'aggiornamento:

Messaggio di esempio dello strumento Nudge community quando è disponibile un aggiornamento software per un dispositivo Apple macOS.

Sono inoltre disponibili uno script di esempio e criteri di configurazione di Intune per Nudge nel repository di script della shell Microsoft. Questo script include tutti gli elementi necessari per iniziare a usare Nudge. Assicurarsi di aggiornare il .mobileconfig file con i valori.

Usare la creazione di report predefinita per lo stato dell'aggiornamento

Dopo aver distribuito i criteri di aggiornamento, nell'interfaccia di amministrazione di Intune è possibile usare la funzionalità di creazione di report per controllare lo stato degli aggiornamenti.

Per ogni dispositivo, è possibile visualizzare lo stato corrente degli aggiornamenti (dispositivi > macOS > Update policies for macOS):

Usare la creazione di report predefinita per controllare lo stato di aggiornamento di un dispositivo Apple macOS nell'interfaccia di amministrazione Microsoft Intune.

Passaggi successivi