Guia de planejamento de atualizações de software e cenários para dispositivos iOS/iPadOS supervisionados em Microsoft Intune
Manter seus dispositivos móveis atualizados com atualizações de software é fundamental. Você precisa reduzir o risco de eventos de segurança e ter uma interrupção mínima para sua organização e seus usuários. Em dispositivos supervisionados iOS/iPadOS, o Intune tem políticas internas que podem gerenciar atualizações de software.
Este artigo inclui uma lista de verificação de administrador para ajudá-lo a começar as atualizações de software em dispositivos supervisionados iOS/iPadOS. Ele também lista cenários comuns do setor e políticas de exemplo que você pode configurar em seu ambiente.
Para obter as etapas específicas para criar uma política de atualização de software, acesse Gerenciar políticas de atualização de software iOS/iPadOS no Intune.
Este artigo se aplica ao:
- Dispositivos supervisionados iOS/iPadOS registrados no Intune
Dica
Se seus dispositivos forem de propriedade pessoal, acesse o guia de planejamento de atualizações de software para dispositivos pessoais.
Administração lista de verificação para dispositivos de propriedade da organização
Esta seção lista as diretrizes e estratégias recomendadas pela Microsoft para instalar atualizações de software em seus dispositivos.
✅ Gerenciar atualizações com políticas
É recomendável criar políticas que atualizem seus dispositivos. Não é recomendável colocar essa responsabilidade nos usuários finais.
Por padrão, os usuários recebem notificações e/ou veem as atualizações mais recentes disponíveis em seus dispositivos (Configurações > software geral > Atualizações). Os usuários podem optar por baixar e instalar atualizações sempre que desejarem.
Quando os usuários instalam suas próprias atualizações (em vez de administradores gerenciando as atualizações), isso pode interromper a produtividade do usuário e as tarefas comerciais. Por exemplo:
Os usuários podem iniciar uma atualização quando desejarem e talvez não possam funcionar enquanto uma atualização estiver sendo instalada.
Os usuários podem aplicar atualizações que sua organização não aprovou. Essa decisão pode causar problemas com a compatibilidade do aplicativo, alterações no sistema operacional ou alterações na experiência do usuário que interrompem o uso do dispositivo.
Os usuários podem evitar aplicar atualizações necessárias que afetam a segurança ou a compatibilidade do aplicativo. Essa situação pode deixar os dispositivos em risco e/ou impedir que os dispositivos funcionem.
✅ Manter as atualizações automáticas habilitadas
A partir do iOS/iPadOS 12, quando as atualizações estão disponíveis, os dispositivos Apple instalam automaticamente as atualizações. Por padrão, esse recurso está habilitado em novos dispositivos. Mantenha esse recurso habilitado.
Para usar esse patch automático e instalar atualizações mais rapidamente, verifique se os dispositivos são:
- Ligado
- Conectado
- Conectado à Internet
Quando os dispositivos são ligados, conectados e conectados à Internet, as atualizações baixam automaticamente & instalação e o dispositivo reinicializa. Se o dispositivo não atender a essas condições, as atualizações não serão automaticamente baixadas e instaladas.
Para manter seus dispositivos na versão mais atual e com o mínimo esforço de você, mantenha o recurso de atualizações automáticas habilitado:
As atualizações automáticas funcionam em conjunto com outras políticas de atualização, o que pode fornecer uma experiência positiva para administradores e usuários finais.
Usando políticas do Intune, você também pode forçar os usuários a atualizar seus dispositivos:
- Use restrições de registro para impedir que os usuários registrem dispositivos que não são atuais.
- Crie políticas de conformidade para determinar os dispositivos que não são atualizados.
- Crie políticas de AC (Acesso Condicional) para bloquear dispositivos que não são atualizados. As políticas de AC também podem solicitar que os usuários instalem atualizações atuais para que recuperem o acesso.
O que você precisa saber
Se o recurso de atualizações automáticas estiver desabilitado, devido a uma limitação do sistema operacional, ele não poderá ser alterado usando políticas. A configuração deve ser alterada manualmente no dispositivo ou o dispositivo deve ser redefinido & reprovisionado.
Se os dispositivos estiverem configurados com um PIN, para iniciar a atualização de software, você deverá inserir o PIN. Inserir o PIN normalmente não é um problema para dispositivos 1:1 do trabalho de informações.
Ao planejar atualizações em quiosques, piso de fábrica ou cenários sem usuário, talvez seja necessário ajustar seus processos para acomodar o comportamento pin.
✅ Usar as configurações internas
Para gerenciar atualizações, a Apple tem as seguintes opções:
DDM (gerenciamento de dispositivo declarativo)
No iOS/iPadOS 17.0 e posterior, você pode usar o DDM (gerenciamento declarativo de dispositivo) da Apple para gerenciar atualizações de software. O DDM é uma nova maneira de gerenciar dispositivos com uma experiência aprimorada do usuário, pois o dispositivo manipula todo o ciclo de vida da atualização de software. Ele solicita aos usuários que uma atualização está disponível e também baixa, prepara o dispositivo para a instalação, & instala a atualização.
O DDM é a maneira recomendada de gerenciar atualizações em dispositivos iOS/iPadOS 17+. Você pode usar configurações de MDM nesses dispositivos, mas não é recomendável. Em vez disso, use as configurações de DDM.
Essas configurações são configuráveis no centro de administração Microsoft Intune. Para obter mais informações, acesse Atualizações de software gerenciadas com o catálogo de configurações.
Políticas de atualização de software
Essas políticas de MDM oferecem uma implantação controlada de uma versão específica. Você também pode forçar dispositivos em versões mais antigas a serem atualizados. Os administradores podem inserir a versão iOS/iPadOS para instalar e agendar a instalação.
Essas configurações são configuráveis no centro de administração Microsoft Intune. Para obter mais informações, acesse Gerenciar políticas de atualização de software iOS/iPadOS no Intune.
Políticas de adiamento de atualização de software
Essas políticas de MDM ocultam atualizações por até 90 dias. Eles impedem que os usuários atualizem manualmente seu dispositivo para uma versão que não foi aprovada. Esse recurso não controla quando as atualizações são aplicadas.
Essas configurações são configuráveis no centro de administração Microsoft Intune. Para obter mais informações, acesse Gerenciar políticas de atualização de software iOS/iPadOS no Intune.
Com esses recursos, os administradores podem garantir que seus dispositivos Apple estejam executando uma versão de software específica e possam controlar a versão das atualizações em seus dispositivos.
✅ Criar políticas que dão suporte a muitos fusos horários
Todos os tempos de política usam UTC (Tempo Universal Coordenado). O fuso horário local do dispositivo não é usado.
Para minimizar o número de políticas que você precisa criar e gerenciar, crie uma configuração que dê suporte a muitos fusos horários. Não crie uma política separada para cada fuso horário.
Por exemplo, no Estados Unidos, há quatro fusos horários primários: Pacífico (UTC-8), Montanha (UTC-7), Central (UTC-6) e Leste (UTC-5). Você pode criar políticas separadas para cada fuso horário. Ou crie uma ou duas políticas que alcancem o mesmo resultado.
✅ Tenha cuidado com as configurações de versão
Ao criar políticas de atualização de software, esteja ciente do impacto mais amplo dos detalhes da versão em todas as suas políticas.
Por exemplo:
Você configura uma política que atrasa as atualizações por 90 dias. Se houver uma política de restrição de registro que exija que os dispositivos tenham uma versão recente do iOS/iPadOS, depois de uma redefinição de dispositivo, os dispositivos poderão ser impedidos de se registrar.
Você cria uma política de conformidade que requer uma versão mínima do iOS/iPadOS recente. Com essa política, os dispositivos em versões mais antigas tornam-se incompatíveis. Se você usar o Acesso Condicional para impor a conformidade, os usuários serão bloqueados e não poderão trabalhar.
Cenários comuns do setor
Os dispositivos Apple são usados em vários setores, incluindo empresas, varejo, manufatura e educação. A maioria dos casos de uso do dispositivo pode ser categorizada nos seguintes tipos:
- 1:1: Os dispositivos são usados por apenas uma pessoa.
- Compartilhado: os dispositivos são usados por mais de uma pessoa.
- Dedicado: os dispositivos são usados para uma finalidade comercial específica, como um quiosque ou sinalização digital.
A tabela a seguir inclui a terminologia comum do setor que este artigo usa:
| Setor | Terminologia | Caso de uso |
|---|---|---|
| Empresa | Trabalhador de conhecimento | 1:1 |
| Varejo | Quiosque | Dedicado |
| Indústria | Máquina de fábrica | Missão crítica |
| Educação | Dispositivo atribuído | Compartilhados |
Esta seção descreve alguns cenários comuns do setor e fornece exemplos de políticas do Intune.
Trabalhadores do conhecimento
Esse grupo são pessoas com conhecimento adquirido que trabalham em empresas e organizações empresariais. Seu conhecimento e capacidade de pensamento são seu trabalho. Alguns exemplos incluem engenheiros, desenvolvedores de conteúdo, programadores, contadores, comunicações, consultores e assim por diante.
Os trabalhadores do conhecimento normalmente têm seu próprio dispositivo que é usado apenas por eles. Não é compartilhado com outros usuários ou outros trabalhadores de conhecimento.
Em cenários como dispositivos de trabalho de conhecimento, o objetivo principal é que o processo de atualização seja o mais simples e rápido possível. Seus aplicativos são principalmente baseados em loja, e os aplicativos devem permanecer compatíveis com a versão mais recente do sistema operacional. Nesses dispositivos, os usuários normalmente são tolerantes a prompts para atualizações e/ou escolhendo um momento conveniente para reinicializações.
Uma estratégia de atualização e prioridades para esses dispositivos normalmente incluem:
✅ Configuração de atualização básica
✅ A versão mais recente atualizada
✅ Atualizações automáticas
Exemplo de cenário:
Você está configurando um perfil de atualização para os trabalhadores de conhecimento da Contoso. Esses usuários usam principalmente aplicativos microsoft 365 e vários aplicativos VPP (Programa de Compra de Volume).
Como administrador, você está confortável com:
- Esses dispositivos que executam a versão mais recente do iOS/iPadOS
- Baixar e instalar atualizações assim que os dispositivos marcar com o Intune
- Permitindo que os usuários finais decidam quando instalam atualizações e reinicializam seus dispositivos para aplicar as atualizações
Para atingir essas metas, você pode usar uma política com as seguintes configurações padrão:
Quiosques
Esses dispositivos normalmente são dispositivos de varejo na loja e podem ser um computador desktop ou um dispositivo móvel. Eles são usados por funcionários para atender clientes e usados diretamente pelos clientes para tarefas de autoatendimento. Eles também podem ser uma exibição visual que todos os clientes veem quando estão no local.
Em cenários semelhantes a quiosques, as principais metas para atualizar os dispositivos são:
- Verifique se os dispositivos estão atualizados com atualizações de sistema operacional aprovadas.
- Os administradores gerenciam as atualizações e todas as versões.
- A instalação e as reinicializações ocorrem após o horário comercial.
Uma estratégia de atualização e prioridades para esses dispositivos normalmente incluem:
✅ Configuração de atualização básica
✅ Controle de versão previsível
✅ Ciclos de versão previsíveis
Exemplo de cenário:
Você está configurando um perfil de atualização iOS/iPadOS para os dispositivos de quiosque na Contoso. Esses dispositivos operam em uma saída de varejo. Sua equipe usa os dispositivos para atender clientes 7 dias por semana, incluindo horário estendido de varejo. Os dispositivos executam um único aplicativo de quiosque de Linha de Negócios (LOB), que foi desenvolvido internamente pela Contoso. Esse aplicativo interno só é testado e validado trimestralmente.
Você deseja implantar a versão específica do iOS/iPadOS com a qual este aplicativo LOB foi testado recentemente, que é o iOS 16.3. Se esse aplicativo de quiosque não funcionar corretamente, a saída de varejo não poderá atender clientes. Os dispositivos são conectados a Wi-Fi e cobram durante a noite quando a saída de varejo é fechada aos clientes.
Você escolheu uma janela de manutenção durante a noite de 10 horas em que as atualizações podem ser baixadas e aplicadas antes da abertura da loja.
Para realizar essa tarefa, crie uma política com as seguintes configurações:
Máquinas de fábrica
Esses dispositivos geralmente são dispositivos de uso único. Eles são usados em áreas críticas de missão, como linhas de fabricação ou controle de equipamentos especializados & monitoramento. Por exemplo, pode ser um tablet Android executando o controle ou o software de monitoramento para um dispositivo que solda componentes.
Em cenários de máquina de fábrica, o objetivo principal é garantir que os dispositivos se comportem de maneira consistente. Atualizações talvez precise ser adiada para que todos os testes de compatibilidade do aplicativo possam ser concluídos. A instalação e as reinicializações ocorrem em horários específicos e normalmente são implantadas em uma abordagem em fases.
Uma estratégia de atualização e prioridades para esses dispositivos normalmente incluem:
✅ Configuração de política avançada
✅ Controle de versão rigoroso
✅ Ciclos de versão lenta
Exemplo de cenário:
Você está configurando um perfil de atualização para dispositivos no piso de fabricação na instalação industrial da Contoso. A instalação funciona 24 horas por dia, 7 dias e 365 dias por ano, exceto por algumas horas de paralisação obrigatória para inspeções de segurança. Essas inspeções acontecem no início da manhã de domingo toda semana.
Esses dispositivos executam dois aplicativos de fornecedor. Para permanecer em uma configuração com suporte, ambos os aplicativos são atualizados com pouca frequência e devem executar uma versão específica do aplicativo e do sistema operacional.
Você deseja implantar uma versão específica e mais antiga do iOS/iPadOS (15) para esses dispositivos, já que o fornecedor de aplicativos ainda não dá suporte a versões posteriores. Como os dispositivos estão quase sempre em uso, você só tem uma pequena janela de manutenção uma vez por semana no domingo.
Você deseja agendar atualizações durante uma janela de inatividade de duas horas durante a noite em um domingo.
Para realizar essa tarefa, crie uma política com as seguintes configurações:
Dispositivos compartilhados
Os dispositivos compartilhados são usados por muitos usuários que normalmente entram e saem do dispositivo, incluindo ambientes de educação. Esses dispositivos podem ser computadores terminais/desktop, tablets, laptops e smartphones. Eles são frequentemente usados em escritórios, salas de aula e lojas de varejo.
Para obter mais informações sobre como gerenciar dispositivos iOS/iPadOS compartilhados, acesse Soluções de dispositivo compartilhado para iOS/iPadOS.
Para dispositivos compartilhados iOS/iPadOS, para aplicar atualizações, todos os usuários devem ser conectados. Os usuários podem ser retirados ou o dispositivo pode ser reiniciado, o que automaticamente assina os usuários.
Uma estratégia de atualização e prioridades para esses dispositivos normalmente incluem:
✅ Configuração de política avançada
✅ Controle de versão previsível
✅ Comportamento de atualização controlado
Exemplo de cenário:
Pela manhã, o UserA entra no dispositivo para marcar email antes de sair no chão. Uma hora depois, o UserB usa o mesmo dispositivo para executar alguns aplicativos LOB.
Você precisa configurar uma atualização para este dispositivo compartilhado. Esses dispositivos compartilhados são usados por trabalhadores de conhecimento geral que estão no escritório das 8h às 17h, de segunda a sexta-feira. Você deseja os dispositivos na versão mais recente do iOS/iPadOS que dá suporte a todos os aplicativos usados nos dispositivos compartilhados.
Para manter a política o mais simples possível, você deseja que as atualizações se instalem fora do horário de trabalho típico, além de uma hora para reinicializações ou outras ações.
Para realizar essa tarefa, esse cenário envolve duas políticas:
Na primeira política, você deseja que todos os usuários entrem ou queiram reinicializar o dispositivo após um tempo definido. Você pode criar um perfil de registro do Apple Business Manager para inscrever todos os usuários que estão ociosos por mais de 15 minutos (900 segundos):
Na segunda política, agende a atualização usando as seguintes configurações:
Próximas etapas
- Gerenciar políticas de atualização de software do iOS/iPadOS no Intune
- Guia de planejamento de atualizações de software e cenários para BYOD e dispositivos pessoais
- Guia de planejamento de atualizações de software para dispositivos Android gerenciados
- Guia de planejamento de atualizações de software para dispositivos macOS gerenciados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de