Planningshandleiding voor software-updates en scenario's voor iOS-/iPadOS-apparaten onder supervisie in Microsoft Intune
Het is essentieel om uw mobiele apparaten actueel te houden met software-updates. U moet het risico van beveiligingsincidenten verminderen en minimale onderbrekingen hebben voor uw organisatie en uw gebruikers. Op iOS-/iPadOS-apparaten onder supervisie heeft Intune ingebouwde beleidsregels waarmee software-updates kunnen worden beheerd.
Dit artikel bevat een controlelijst voor beheerders waarmee u aan de slag kunt met software-updates op iOS-/iPadOS-apparaten onder supervisie. Het bevat ook algemene branchescenario's en voorbeeldbeleidsregels die u in uw omgeving kunt configureren.
Voor de specifieke stappen voor het maken van een software-updatebeleid gaat u naar Beleid voor iOS-/iPadOS-software-updates beheren in Intune.
Dit artikel is van toepassing op:
- iOS-/iPadOS-apparaten onder supervisie die zijn ingeschreven bij Intune
Tip
Als uw apparaten persoonlijk eigendom zijn, gaat u naar de planningshandleiding voor software-updates voor persoonlijke apparaten.
Beheer controlelijst voor apparaten die eigendom zijn van de organisatie
In deze sectie vindt u de door Microsoft aanbevolen richtlijnen en strategieën voor het installeren van software-updates op uw apparaten.
✅ Updates beheren met beleid
U wordt aangeraden beleidsregels te maken waarmee uw apparaten worden bijgewerkt. Het wordt afgeraden om deze verantwoordelijkheid op eindgebruikers te leggen.
Standaard ontvangen gebruikers meldingen en/of zien ze de meest recente updates die beschikbaar zijn op hun apparaten (Instellingen > Algemene > software Updates). Gebruikers kunnen ervoor kiezen om updates te downloaden en te installeren wanneer ze maar willen.
Wanneer gebruikers hun eigen updates installeren (in plaats van beheerders die de updates beheren), kan dit de productiviteit van gebruikers en zakelijke taken verstoren. Bijvoorbeeld:
Gebruikers kunnen een update starten wanneer ze dat willen en kunnen mogelijk niet werken terwijl een update wordt geïnstalleerd.
Gebruikers kunnen updates toepassen die uw organisatie niet heeft goedgekeurd. Deze beslissing kan problemen veroorzaken met toepassingscompatibiliteit, wijzigingen in het besturingssysteem of wijzigingen in de gebruikerservaring die het gebruik van het apparaat verstoren.
Gebruikers kunnen voorkomen dat vereiste updates worden toegepast die van invloed zijn op de beveiliging of app-compatibiliteit. Deze situatie kan de apparaten in gevaar laten en/of verhinderen dat de apparaten werken.
✅ Automatische updates ingeschakeld houden
Vanaf iOS/iPadOS 12 installeren Apple-apparaten de updates automatisch wanneer er updates beschikbaar zijn. Deze functie is standaard ingeschakeld op nieuwe apparaten. Houd deze functie ingeschakeld.
Als u deze automatische patching wilt gebruiken en updates sneller wilt installeren, moet u ervoor zorgen dat de apparaten:
- Ingeschakeld
- Aangesloten
- Verbonden met internet
Wanneer de apparaten zijn ingeschakeld, aangesloten en verbonden met internet, worden de updates automatisch gedownload & geïnstalleerd en wordt het apparaat opnieuw opgestart. Als het apparaat niet aan deze voorwaarden voldoet, worden de updates niet automatisch gedownload en geïnstalleerd.
Als u uw apparaten op de meest recente versie en met minimale inspanning van u wilt houden, houdt u de functie voor automatische updates ingeschakeld:
Automatische updates werken samen met andere updatebeleidsregels, wat beheerders en eindgebruikers een positieve ervaring kan bieden.
Met behulp van Intune-beleid kunt u gebruikers ook dwingen hun apparaten bij te werken:
- Gebruik Inschrijvingsbeperkingen om te voorkomen dat gebruikers apparaten inschrijven die niet actueel zijn.
- Nalevingsbeleid maken om te bepalen welke apparaten niet worden bijgewerkt.
- Maak beleid voor voorwaardelijke toegang (CA) om apparaten te blokkeren die niet zijn bijgewerkt. Het CA-beleid kan gebruikers ook vragen om de huidige updates te installeren, zodat ze weer toegang krijgen.
Wat u moet weten
Als de functie voor automatische updates is uitgeschakeld, kan deze vanwege een beperking van het besturingssysteem niet worden gewijzigd met behulp van beleid. De instelling moet handmatig worden gewijzigd op het apparaat of het apparaat moet opnieuw worden ingesteld & opnieuw ingericht.
Als apparaten zijn geconfigureerd met een pincode, moet u de pincode invoeren om de software-update te starten. Het invoeren van de pincode is doorgaans geen probleem voor apparaten met information worker 1:1.
Wanneer u updates plant voor kiosken, fabrieksvloeren of scenario's zonder gebruikers, moet u mogelijk uw processen aanpassen aan het gedrag van de pincode.
✅ De ingebouwde instellingen gebruiken
Apple heeft de volgende opties om updates te beheren:
Declaratief apparaatbeheer (DDM)
Op iOS/iPadOS 17.0 en hoger kunt u het declarative device management (DDM) van Apple gebruiken om software-updates te beheren. DDM is een nieuwe manier om apparaten te beheren met een verbeterde gebruikerservaring, omdat het apparaat de volledige levenscyclus van software-updates afhandelt. Gebruikers worden gevraagd of er een update beschikbaar is en wordt ook gedownload, het apparaat wordt voorbereid op de installatie & de update wordt geïnstalleerd.
DDM is de aanbevolen manier om updates te beheren op iOS-/iPadOS 17+-apparaten. U kunt MDM-instellingen op deze apparaten gebruiken, maar dit wordt niet aanbevolen. Gebruik in plaats daarvan de DDM-instellingen.
Deze instellingen kunnen worden geconfigureerd in het Microsoft Intune-beheercentrum. Ga voor meer informatie naar Beheerde software-updates met de catalogus met instellingen.
Software-updatebeleid
Deze MDM-beleidsregels bieden een gecontroleerde implementatie van een specifieke versie. U kunt ook afdwingen dat apparaten op oudere versies upgraden. Beheerders kunnen de iOS-/iPadOS-versie invoeren om de installatie te installeren en te plannen.
Deze instellingen kunnen worden geconfigureerd in het Microsoft Intune-beheercentrum. Ga voor meer informatie naar Beleid voor iOS-/iPadOS-software-updates beheren in Intune.
Uitstelbeleid voor software-updates
Deze MDM-beleidsregels verbergen updates gedurende maximaal 90 dagen. Ze voorkomen dat gebruikers hun apparaat handmatig bijwerken naar een versie die niet is goedgekeurd. Deze functie bepaalt niet wanneer de updates worden toegepast.
Deze instellingen kunnen worden geconfigureerd in het Microsoft Intune-beheercentrum. Ga voor meer informatie naar Beleid voor iOS-/iPadOS-software-updates beheren in Intune.
Met deze functies kunnen beheerders ervoor zorgen dat op hun Apple-apparaten een specifieke softwareversie wordt uitgevoerd en kunnen ze de release van updates op hun apparaten beheren.
✅ Beleidsregels maken die veel tijdzones ondersteunen
Alle beleidstijden gebruiken Coordinated Universal Time (UTC). De lokale tijdzone van het apparaat wordt niet gebruikt.
Als u het aantal beleidsregels wilt minimaliseren dat u moet maken en beheren, maakt u een configuratie die veel tijdzones ondersteunt. Maak geen afzonderlijk beleid voor elke tijdzone.
In de Verenigde Staten zijn er bijvoorbeeld vier primaire tijdzones: Pacific (UTC-8), Mountain (UTC-7), Central (UTC-6) en Eastern (UTC-5). U kunt afzonderlijke beleidsregels maken voor elke tijdzone. U kunt ook een of twee beleidsregels maken waarmee hetzelfde resultaat wordt bereikt.
✅ Wees voorzichtig met versie-instellingen
Wanneer u software-updatebeleid maakt, moet u rekening houden met de bredere impact van de versiedetails in al uw beleidsregels.
Bijvoorbeeld:
U configureert een beleid waarmee updates gedurende 90 dagen worden vertraagd. Als er een inschrijvingsbeperkingsbeleid is dat vereist dat apparaten een recente iOS-/iPadOS-versie hebben, kunnen apparaten na het opnieuw instellen van het apparaat worden geblokkeerd.
U maakt een nalevingsbeleid waarvoor minimaal een recente iOS-/iPadOS-versie is vereist. Met dit beleid worden apparaten op oudere releases niet-compatibel. Als u voorwaardelijke toegang gebruikt om naleving af te dwingen, worden gebruikers geblokkeerd en kunnen ze niet werken.
Algemene branchescenario's
Apple-apparaten worden gebruikt in verschillende branches, waaronder ondernemingen, detailhandel, productie en onderwijs. De meeste gebruiksvoorbeelden van apparaten kunnen worden ingedeeld in de volgende typen:
- 1:1: Apparaten worden door slechts één persoon gebruikt.
- Gedeeld: Apparaten worden gebruikt door meer dan één persoon.
- Toegewezen: Apparaten worden gebruikt voor een specifiek zakelijk doel, zoals een kiosk of digitale signage.
De volgende tabel bevat algemene brancheterminologie die in dit artikel wordt gebruikt:
| Branche | Terminologie | Use case |
|---|---|---|
| Enterprise | Kenniswerker | 1:1 |
| Detailhandel | Kiosk | Gewijd |
| Productie | Fabrieksmachine | Bedrijfskritieke |
| Education | Toegewezen apparaat | Gedeelde |
In deze sectie worden enkele veelvoorkomende branchescenario's beschreven en worden voorbeelden gegeven van Intune-beleid.
Kenniswerkers
Deze groep bestaat uit mensen met opgedane kennis die werken in ondernemingen en organisaties. Hun kennis en denkvermogen zijn hun werk. Enkele voorbeelden zijn engineers, inhoudsontwikkelaars, programmeurs, accountants, communicatie, consultants, enzovoort.
Kenniswerkers hebben doorgaans hun eigen apparaat dat alleen door hen wordt gebruikt. Het wordt niet gedeeld met andere gebruikers of andere kenniswerkers.
In scenario's zoals knowledge worker-apparaten is het primaire doel om het updateproces zo eenvoudig en snel mogelijk te laten verlopen. Hun apps zijn voornamelijk store-gebaseerd en de apps moeten compatibel blijven met de nieuwste versie van het besturingssysteem. Op deze apparaten zijn gebruikers doorgaans tolerant voor prompts voor updates en/of het kiezen van een geschikt tijdstip voor opnieuw opstarten.
Een updatestrategie en -prioriteiten voor deze apparaten zijn meestal:
✅ Basisconfiguratie voor updates
✅ De meest recente versie
✅ Automatische updates
Voorbeeld van scenario:
U configureert een updateprofiel voor de kenniswerkers bij Contoso. Deze gebruikers gebruiken meestal Microsoft 365-apps en verschillende VPP-apps (Volume Purchase Program).
Als beheerder bent u vertrouwd met het volgende:
- Deze apparaten met de nieuwste versie van iOS/iPadOS
- Updates downloaden en installeren zodra de apparaten bij Intune inchecken
- Eindgebruikers toestaan om te bepalen wanneer ze updates installeren en hun apparaten opnieuw opstarten om de updates toe te passen
Als u deze doelen wilt bereiken, kunt u een beleid gebruiken met de volgende standaardinstellingen:
Kiosken
Deze apparaten zijn doorgaans winkelapparaten en kunnen een desktopcomputer of een mobiel apparaat zijn. Ze worden door werknemers gebruikt om klanten te bedienen en worden rechtstreeks door klanten gebruikt voor selfservicetaken. Ze kunnen ook een visuele weergave zijn die alle klanten zien wanneer ze on-premises zijn.
In kiosk-achtige scenario's zijn de primaire doelen voor het bijwerken van de apparaten:
- Zorg ervoor dat apparaten actueel zijn met goedgekeurde besturingssysteemupdates.
- Beheerders beheren de updates en eventuele versiebeheer.
- De installatie en het opnieuw opstarten vindt plaats na kantooruren.
Een updatestrategie en -prioriteiten voor deze apparaten zijn meestal:
✅ Basisconfiguratie voor updates
✅ Voorspelbaar versiebeheer
✅ Voorspelbare releasecycli
Voorbeeld van scenario:
U configureert een iOS-/iPadOS-updateprofiel voor de kioskapparaten bij Contoso. Deze apparaten werken in een winkel. Uw personeel gebruikt de apparaten om klanten 7 dagen per week te bedienen, inclusief uitgebreide winkeluren. Op de apparaten wordt één LOB-kiosk-app (Line of Business) uitgevoerd, die intern door Contoso is ontwikkeld. Deze interne toepassing wordt alleen per kwartaal getest en gevalideerd.
U wilt de specifieke iOS-/iPadOS-versie implementeren waarmee deze LOB-app onlangs is getest, namelijk iOS 16.3. Als deze kiosktoepassing niet correct werkt, kan de winkel geen klanten bedienen. De apparaten zijn verbonden met Wi-Fi en worden 's nachts opgeladen wanneer het verkooppunt voor klanten is gesloten.
U hebt gekozen voor een 's nachts onderhoudsvenster van 10 uur waarin updates kunnen worden gedownload en toegepast voordat de Store wordt geopend.
Maak een beleid met de volgende instellingen om deze taak uit te voeren:
Fabrieksmachines
Deze apparaten zijn vaak apparaten met één doel. Ze worden gebruikt in bedrijfskritieke gebieden, zoals productielijnen of gespecialiseerde apparatuurcontrole & bewaking. Het kan bijvoorbeeld een Android-tablet zijn waarop besturings- of bewakingssoftware wordt uitgevoerd voor een apparaat dat onderdelen last.
In fabrieksmachinescenario's is het primaire doel om ervoor te zorgen dat apparaten zich op een consistente manier gedragen. Updates moet mogelijk worden vertraagd, zodat alle compatibiliteitstests van toepassingen kunnen worden voltooid. Installatie en opnieuw opstarten vinden plaats op specifieke tijdstippen en worden doorgaans gefaseerd geïmplementeerd.
Een updatestrategie en -prioriteiten voor deze apparaten zijn meestal:
✅ Geavanceerde beleidsconfiguratie
✅ Strikt versiebeheer
✅ Trage releasecycli
Voorbeeld van scenario:
U configureert een updateprofiel voor apparaten op de productievloer in de industriële faciliteit van Contoso. De faciliteit loopt 24x7, 365 dagen per jaar, met uitzondering van een paar uur verplichte onderbreking voor veiligheidsinspecties. Deze inspecties vinden elke week vroeg op zondagochtend plaats.
Op deze apparaten worden twee leveranciers-apps uitgevoerd. Om in een ondersteunde configuratie te blijven, worden beide apps af en toe bijgewerkt en moeten een specifieke versie van de app en het besturingssysteem worden uitgevoerd.
U wilt een specifieke, oudere iOS-/iPadOS-versie (15) implementeren op deze apparaten, omdat de leverancier van de app nog geen ondersteuning biedt voor latere releases. Omdat de apparaten bijna altijd in gebruik zijn, hebt u slechts één keer per week op zondag een klein onderhoudsvenster.
U wilt updates plannen tijdens een downtimeperiode van twee uur 's nachts op een zondag.
Maak een beleid met de volgende instellingen om deze taak uit te voeren:
Gedeelde apparaten
Gedeelde apparaten worden gebruikt door veel gebruikers die zich doorgaans aanmelden bij het apparaat, inclusief onderwijsomgevingen. Deze apparaten kunnen terminal-/desktopcomputers, tablets, laptops en smartphones zijn. Ze worden vaak gebruikt in kantoren, klaslokalen en winkels.
Ga naar Oplossingen voor gedeelde apparaten voor iOS/iPadOS voor meer informatie over het beheren van gedeelde iOS-/iPadOS-apparaten.
Voor gedeelde iOS-/iPadOS-apparaten moeten alle gebruikers zijn afgemeld om updates toe te passen. De gebruikers kunnen worden afgemeld of het apparaat kan opnieuw worden opgestart, waardoor gebruikers automatisch worden afgemeld.
Een updatestrategie en -prioriteiten voor deze apparaten zijn meestal:
✅ Geavanceerde beleidsconfiguratie
✅ Voorspelbaar versiebeheer
✅ Gecontroleerd updategedrag
Voorbeeld van scenario:
In de ochtend meldt UserA zich aan bij het apparaat om e-mail te controleren voordat hij de vloer opgaat. Een uur later gebruikt UserB hetzelfde apparaat om een aantal LOB-apps uit te voeren.
U moet een update configureren voor dit gedeelde apparaat. Deze gedeelde apparaten worden gebruikt door algemene kenniswerkers die van maandag tot en met vrijdag op kantoor zijn van 8:00 tot 17:00 uur. U wilt dat de apparaten de nieuwste iOS-/iPadOS-versie hebben die ondersteuning biedt voor alle apps die op de gedeelde apparaten worden gebruikt.
Om het beleid zo eenvoudig mogelijk te houden, wilt u dat de updates buiten normale werkuren worden geïnstalleerd, plus één uur voor opnieuw opstarten of andere acties.
Om deze taak uit te voeren, omvat dit scenario twee beleidsregels:
In het eerste beleid wilt u dat alle gebruikers zijn afgemeld of dat ze het apparaat na een bepaalde tijd opnieuw willen opstarten. U kunt een Apple Business Manager-inschrijvingsprofiel maken om gebruikers af te melden die langer dan 15 minuten (900 seconden) inactief zijn:
In het tweede beleid plant u de update met behulp van de volgende instellingen:
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor