Руководство по планированию обновлений программного обеспечения и сценарии для защищенных устройств iOS/iPadOS в Microsoft Intune

  • Статья

Обеспечение актуальности обновлений программного обеспечения на мобильных устройствах имеет решающее значение. Необходимо снизить риск событий безопасности и обеспечить минимальное нарушение работы вашей организации и пользователей. На защищенных устройствах iOS/iPadOS Intune имеет встроенные политики, которые могут управлять обновлениями программного обеспечения.

В этой статье содержится контрольный список для администраторов, который поможет вам приступить к работе с обновлениями программного обеспечения на защищенных устройствах iOS/iPadOS. В нем также перечислены распространенные отраслевые сценарии и примеры политик, которые можно настроить в своей среде.

Инструкции по созданию политики обновления программного обеспечения см. в статье Управление политиками обновления программного обеспечения iOS/iPadOS в Intune.

Эта статья относится к:

  • Защищенные устройства iOS/iPadOS, зарегистрированные в Intune

Совет

Если ваши устройства принадлежат лично, перейдите к руководству по планированию обновлений программного обеспечения для личных устройств.

контрольный список Администратор для устройств, принадлежащих организации

В этом разделе перечислены рекомендации и стратегии, рекомендуемые корпорацией Майкрософт по установке обновлений программного обеспечения на устройствах.

✅ Управление обновлениями с помощью политик

Рекомендуется создавать политики, которые обновляют устройства. Не рекомендуется возлагать эту ответственность на конечных пользователей.

По умолчанию пользователи получают уведомления и (или) видят последние обновления, доступные на своих устройствах (параметры > общего > программного обеспечения Обновления). Пользователи могут загружать и устанавливать обновления в любое время.

Когда пользователи устанавливают собственные обновления (вместо администраторов, управляющих обновлениями), это может нарушить производительность пользователей и бизнес-задачи. Например:

  • Пользователи могут запускать обновление при желании и не смогут работать во время установки обновления.

  • Пользователи могут применять обновления, которые не утверждены вашей организацией. Это решение может вызвать проблемы с совместимостью приложений, изменениями в операционной системе или изменениями в пользовательском интерфейсе, которые нарушают работу устройства.

  • Пользователи могут избежать применения обязательных обновлений, влияющих на безопасность или совместимость приложений. Такая ситуация может оставить устройства под угрозой и (или) помешать работе устройств.

✅ Включение автоматических обновлений

Начиная с iOS/iPadOS 12, когда доступны обновления, устройства Apple автоматически устанавливают обновления. По умолчанию эта функция включена на новых устройствах. Оставьте эту функцию включенной.

Чтобы использовать эту автоматическую установку исправлений и ускорить установку обновлений, убедитесь, что устройства:

  • Включено
  • Подключено
  • Подключение к Интернету

Когда устройства включены, подключены и подключены к Интернету, обновления автоматически скачиваются & установки, а устройство перезагружается. Если устройство не соответствует этим условиям, обновления не будут автоматически загружаться и устанавливаться.

Чтобы сохранить устройства в самой последней версии и с минимальными усилиями, оставьте включенным функцию автоматического обновления:

Снимок экрана, на котором показаны параметры автоматического обновления на устройствах Apple iOS/iPadOS.

Автоматическое обновление работает вместе с другими политиками обновления, что может обеспечить положительный опыт для администраторов и конечных пользователей.

С помощью политик Intune можно также заставить пользователей обновлять свои устройства:

  • Используйте ограничения регистрации , чтобы запретить пользователям регистрировать устройства, которые не являются текущими.
  • Создайте политики соответствия, чтобы определить устройства, которые не обновляются.
  • Создайте политики условного доступа (ЦС) для блокировки устройств, которые не обновляются. Политики ЦС также могут предлагать пользователям установить текущие обновления, чтобы они могли восстановить доступ.

Что необходимо знать

  • Если функция автоматического обновления отключена, то из-за ограничения ОС ее нельзя изменить с помощью политик. Параметр должен быть изменен вручную на устройстве или устройство должно быть сброшено & повторной подготовки.

  • Если на устройствах настроен ПИН-код, то для запуска обновления программного обеспечения необходимо ввести ПИН-код. Ввод ПИН-кода обычно не является проблемой для устройств информационных рабочих 1:1.

    При планировании обновлений в киосках, на заводе или в сценариях без пользователей может потребоваться настроить процессы в соответствии с поведением ПИН-кода.

✅ Использование встроенных параметров

Для управления обновлениями у Apple есть следующие возможности:

  • Декларативное управление устройствами (DDM)

    В iOS/iPadOS 17.0 и более поздних версиях вы можете использовать декларативное управление устройствами Apple (DDM) для управления обновлениями программного обеспечения. DDM — это новый способ управления устройствами с улучшенным взаимодействием с пользователем, так как устройство обрабатывает весь жизненный цикл обновления программного обеспечения. Он предлагает пользователям, что доступно обновление, а также скачивает, подготавливает устройство к установке & устанавливает обновление.

    DDM — это рекомендуемый способ управления обновлениями на устройствах iOS/iPadOS 17+. На этих устройствах можно использовать параметры MDM, но это не рекомендуется. Вместо этого используйте параметры DDM.

    Эти параметры можно настроить в Центре администрирования Microsoft Intune. Дополнительные сведения см. в разделе Управляемые обновления программного обеспечения с каталогом параметров.

  • Политики обновления программного обеспечения

    Эти политики MDM предлагают управляемое развертывание определенной версии. Вы также можете принудительно обновить устройства в более старых версиях. Администраторы могут ввести версию iOS/iPadOS, чтобы установить и запланировать установку.

    Эти параметры можно настроить в Центре администрирования Microsoft Intune. Дополнительные сведения см. в статье Управление политиками обновления программного обеспечения iOS/iPadOS в Intune.

  • Политики отсрочки обновлений программного обеспечения

    Эти политики MDM скрывают обновления на срок до 90 дней. Они не позволяют пользователям вручную обновлять свое устройство до версии, которая не была утверждена. Эта функция не управляет применением обновлений.

    Эти параметры можно настроить в Центре администрирования Microsoft Intune. Дополнительные сведения см. в статье Управление политиками обновления программного обеспечения iOS/iPadOS в Intune.

С помощью этих функций администраторы могут убедиться, что на их устройствах Apple установлена определенная версия программного обеспечения, и они могут управлять выпуском обновлений на своих устройствах.

✅ Создание политик, поддерживающих множество часовых поясов

Во всех политиках используется универсальное скоординированное время (UTC). Локальный часовой пояс устройства не используется.

Чтобы свести к минимуму количество политик, которые необходимо создать и управлять, создайте конфигурацию, которая поддерживает множество часовых поясов. Не создавайте отдельную политику для каждого часового пояса.

Например, в США есть четыре основных часовых пояса: Тихоокеанский (UTC-8), Горный (UTC-7), Центральный (UTC-6) и Восточный (UTC-5). Вы можете создать отдельные политики для каждого часового пояса. Или создайте одну или две политики, которые достигают одного и того же результата.

✅ Будьте осторожны с параметрами версии

При создании политик обновления программного обеспечения следует учитывать более широкое влияние сведений о версии во всех политиках.

Например:

  • Вы настраиваете политику, которая задерживает обновления на 90 дней. Если существует политика ограничения регистрации, которая требует, чтобы устройства имели последнюю версию iOS/iPadOS, после сброса устройства регистрация устройств может быть заблокирована.

  • Вы создаете политику соответствия требованиям, требующую минимальной последней версии iOS/iPadOS. С помощью этой политики устройства в более ранних выпусках становятся несоответствующим. Если вы используете условный доступ для обеспечения соответствия требованиям, пользователи будут заблокированы и не могут работать.

Распространенные отраслевые сценарии

Устройства Apple используются в различных отраслях, включая предприятия, розничную торговлю, производство и образование. Большинство вариантов использования устройств можно разделить на следующие типы:

  • 1:1. Устройства используются только одним пользователем.
  • Общий доступ. Устройства используются несколькими пользователями.
  • Выделенные. Устройства используются для определенных бизнес-целей, таких как киоск или цифровые вывески.

В следующей таблице приведена общая отраслевая терминология, используемая в этой статье:

Отраслевые Терминология Вариант использования
Корпоративная Рабочая роль знаний 1:1
Розничная торговля Базовая подписка Выделенная
Отдел производства Заводская машина Критически важные задачи
Образование Назначенное устройство Shared

В этом разделе описаны некоторые распространенные отраслевые сценарии и приведены примеры политик Intune.

Работники по работе с знаниями

Эта группа — это люди с полученными знаниями, которые работают в корпоративных компаниях и организациях. Их знания и способность к мышлению - это их работа. Некоторые примеры включают инженеров, разработчиков контента, программистов, бухгалтеров, специалистов по коммуникациям, консультантов и т. д.

Специалисты по работе с знаниями обычно имеют собственное устройство, которое используется только ими. Он не предоставляется другим пользователям или другим сотрудникам, работающим с знаниями.

В таких сценариях, как устройства рабочей роли знаний, основная цель заключается в том, чтобы процесс обновления был максимально простым и быстрым. Их приложения в основном основаны на магазине, и приложения должны оставаться совместимыми с последней версией ОС. На этих устройствах пользователи обычно терпимы к запросам на обновление и (или) выбирают удобное время для перезагрузки.

Стратегия обновления и приоритеты для этих устройств обычно включают:

✅ Базовая конфигурация обновления
✅ Последняя самая последняя версия
✅ Автоматическое обновление

Пример сценария:

Вы настраиваете профиль обновления для сотрудников службы знаний в Contoso. Эти пользователи в основном используют приложения Microsoft 365 и несколько приложений Volume Purchase Program (VPP).

Как администратор, вы хорошо знакомы со следующими:

  • Эти устройства под управлением последней выпущенной версии iOS/iPadOS
  • Скачивание и установка обновлений, как только устройства проверка в Intune
  • Разрешение конечным пользователям решать, когда они устанавливают обновления и перезагружают свои устройства для применения обновлений

Для достижения этих целей можно использовать политику со следующими параметрами по умолчанию:

Снимок экрана: выбор версии для установки и планирование параметров обновления программного обеспечения для устройств iOS/iPadOS в центре администрирования Microsoft Intune.

Киоски

Эти устройства обычно являются розничными устройствами в магазине и могут быть настольными компьютерами или мобильными устройствами. Они используются сотрудниками для обслуживания клиентов и используются непосредственно клиентами для задач самообслуживания. Они также могут быть визуальным отображением, которое видят все клиенты, когда они в локальной среде.

В сценариях, подобных киоску, основными целями обновления устройств являются:

  • Убедитесь, что на устройствах установлены утвержденные обновления ОС.
  • Администраторы управляют обновлениями и управлением версиями.
  • Установка и перезагрузка выполняются в нерабочее время.

Стратегия обновления и приоритеты для этих устройств обычно включают:

✅ Базовая конфигурация обновления
✅ Прогнозируемая система управления версиями
✅ Предсказуемые циклы выпуска

Пример сценария:

Вы настраиваете профиль обновления iOS/iPadOS для устройств киоска в Contoso. Эти устройства работают в торговой точке. Ваши сотрудники используют устройства для обслуживания клиентов 7 дней в неделю, включая расширенные часы розничной торговли. Устройства работают с одним бизнес-приложением киоска, которое было разработано компанией Contoso. Это внутреннее приложение тестируется и проверяется только ежеквартально.

Вы хотите развернуть определенную версию iOS/iPadOS, с которой недавно тестировалось это бизнес-приложение( iOS 16.3). Если это приложение киоска работает неправильно, то розничная точка не сможет обслуживать клиентов. Устройства подключены к Wi-Fi и заряжаются в одночасье, когда розничная точка закрыта для клиентов.

Вы выбрали период ночного обслуживания в 10 часов, в который можно скачать и применить обновления до открытия магазина.

Для выполнения этой задачи создайте политику со следующими параметрами:

Снимок экрана: конкретная версия для установки и установки обновлений в понедельник вечером для устройств iOS/iPadOS в центре администрирования Microsoft Intune.

Заводские компьютеры

Эти устройства часто являются устройствами одного назначения. Они используются в критически важных областях, таких как производственные линии или специализированное управление оборудованием & мониторинга. Например, это может быть планшет Android под управлением программного обеспечения для управления или мониторинга для устройства, которое сваривает компоненты.

В сценариях с заводским компьютером основной целью является обеспечение согласованного поведения устройств. Обновления может потребоваться отложить, чтобы все тестирование совместимости приложений можно было завершить. Установка и перезагрузка выполняются в определенное время и обычно развертываются поэтапно.

Стратегия обновления и приоритеты для этих устройств обычно включают:

✅ Расширенная конфигурация политики
✅ Строгий контроль версий
✅ Циклы медленного выпуска

Пример сценария:

Вы настраиваете профиль обновления для устройств на производственном цехе компании Contoso. Объект работает 24x7, 365 дней в году, за исключением нескольких часов обязательной остановки для проверок безопасности. Эти проверки происходят рано утром в воскресенье каждую неделю.

На этих устройствах работают два приложения поставщика. Чтобы оставаться в поддерживаемой конфигурации, оба приложения обновляются нечасто и должны запускать определенную версию приложения и ОС.

Вы хотите развернуть на этих устройствах определенную старую версию iOS/iPadOS (15), так как поставщик приложений еще не поддерживает более поздние выпуски. Так как устройства почти всегда используются, у вас есть только небольшой период обслуживания один раз в неделю в воскресенье.

Вы хотите запланировать обновления в течение двухчасового периода простоя на ночь в воскресенье.

Для выполнения этой задачи создайте политику со следующими параметрами:

Снимок экрана: конкретная версия для установки и установки обновлений по воскресеньям для устройств iOS/iPadOS в центре администрирования Microsoft Intune.

Общие устройства

Общие устройства используются многими пользователями, которые обычно входят в систему и выходят из него, включая среды для образовательных учреждений. Это могут быть терминалы и настольные компьютеры, планшеты, ноутбуки и смартфоны. Они часто используются в офисах, аудиториях и розничных магазинах.

Дополнительные сведения об управлении общими устройствами iOS/iPadOS см. в статье Решения для общих устройств для iOS/iPadOS.

Для общих устройств iOS/iPadOS для применения обновлений все пользователи должны выйти из системы. Пользователи могут выйти из системы или перезагрузить устройство, что автоматически выключает пользователей.

Стратегия обновления и приоритеты для этих устройств обычно включают:

✅ Расширенная конфигурация политики
✅ Прогнозируемая система управления версиями
✅ Управляемое поведение обновлений

Пример сценария:

Утром Пользователь А входит на устройство, чтобы проверка электронной почты, прежде чем выйти на пол. Через час пользователь UserB использует то же устройство для запуска некоторых бизнес-приложений.

Необходимо настроить обновление для этого общего устройства. Эти общие устройства используются сотрудниками общих знаний, которые находятся в офисе с 8:00 до 17:00 с понедельника по пятницу. Вам нужны устройства последней версии iOS/iPadOS, которые поддерживают все приложения, используемые на общих устройствах.

Чтобы обеспечить максимально простую политику, необходимо, чтобы обновления устанавливались в нерабочее время, а также один час для перезагрузки или других действий.

Для выполнения этой задачи в этом сценарии используются две политики:

  • В первой политике требуется, чтобы все пользователи вышли из системы или перезагрузили устройство через определенное время. Вы можете создать профиль регистрации Apple Business Manager, чтобы вывести всех пользователей, которые простаивают более 15 минут (900 секунд):

    Снимок экрана: регистрация без сопоставления пользователей и установка значения бездействия для устройств iOS/iPadOS в Центре администрирования Microsoft Intune.

  • Во второй политике запланируйте обновление с помощью следующих параметров:

    Снимок экрана: установка последней версии и параметров обновления программного обеспечения за пределами запланированного времени для устройств iOS/iPadOS в центре администрирования Microsoft Intune.

Дальнейшие действия