Microsoft Intune中托管 Android Enterprise 设备的软件更新规划指南

  • 项目

经常发布修补程序、主要 & 次要更新和新操作系统版本。 组织必须保持设备更新才能获取最新的安全更新。

使用 Android Google 移动服务 (GMS) 的设备包括所有 Google 应用和 Google 服务。 这些应用和服务位于 OEM 自己的固件功能和应用之上。 这些设备接收不同类型的更新,并且会随机更新,具体取决于 Google、OEM 和服务运营商/电信公司的行为。

Intune 具有可管理软件更新的内置策略。

本文包括已注册和托管的 Android Enterprise 设备的管理员清单。 使用此信息来帮助管理组织拥有的设备上的软件更新。

本文适用于:

  • 在 Intune 中注册的 Android Enterprise 设备

提示

如果你的设备是个人拥有的,请转到 个人设备的软件更新规划指南

开始之前

若要避免设备接收更新时出现延迟,请确保设备:

  • 已打开
  • 已接通电源
  • 已连接到 Internet
  • 空闲且未主动使用

公司设备的管理员清单

企业或组织拥有的设备应由组织注册和管理。 对于 Android Enterprise,可以在以下设备类型上管理软件更新:

  • 专用设备
  • 完全托管的设备
  • 具有工作配置文件的完全托管设备

本部分列出了 Microsoft 建议在托管 Android 设备上安装软件更新的策略。

✔️ 使用策略管理更新

建议创建更新设备的策略。 不建议将此责任赋予最终用户。

当用户安装自己的更新 (而不是管理员管理更新) 时,可能会中断用户的工作效率和业务任务。 例如:

  • 用户可以在需要时启动更新,在安装更新时可能无法正常工作。

  • 用户可以应用组织未批准的更新。 此决策可能会导致应用程序兼容性问题、操作系统更改或用户体验更改,从而中断设备使用。

  • 用户可以避免应用影响安全性或应用兼容性的所需更新。 这种情况可能会使设备面临风险和/或阻止设备正常运行。

✔️ 配置系统更新设置

对于已注册的 Android Enterprise 设备,可以使用 “系统 更新”设置管理 OS 更新。 此设置可在 Intune 设备限制配置文件中配置。

配置此设置时,可以选择安装更新的时间。 例如,你能够:

  • 使用设备的默认行为,如果设备已连接到 Wi-Fi、正在充电且处于空闲状态,则会自动安装更新。

  • 无需用户交互即可自动安装更新。 挂起的更新会立即安装。

  • 将更新推迟 30 天,然后提示用户安装更新。 希望设备制造商和/或运营商能够防止重要的安全更新被推迟。

  • 创建维护时段以在特定时间范围内自动安装更新。

    显示系统更新设置的屏幕截图,其中显示了 Microsoft Intune 管理中心中 Android Enterprise 设备的维护时段。

有关此设置和可配置的值的更具体信息,请转到 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

✔️ 在关键时间使用冻结期

在一年中的关键时期(如节假日和其他事件),可以为系统更新配置冻结期。 在此期间,设备不会收到有关挂起更新的系统更新、安全修补程序和通知。 用户无法手动检查更新:

显示 Microsoft Intune 管理中心中 Android Enterprise 设备的冻结期开始日期和结束日期的屏幕截图。

有关此设置的详细信息,请转到 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

✔️ 使用 OEMConfig 进行固件更新

对于某些坚固的 Android 设备,可以使用 OEMConfig 配置特定于该 OEM 的固件更新和其他设置。 如果 OEM 提供 OEMConfig 应用,则可以在 Intune 中部署应用并使用配置文件配置其设置。

若要查看 Intune 支持的 OEMConfig 应用,请转到 Intune 中支持的 OEMConfig 应用。 有关配置架构中可用的固件和其他设置,请联系制造商。

有关 Intune 中的 OEMConfig 的详细信息,请转到 使用和管理 Intune 中的 OEMConfig 的 Android Enterprise 设备

升级较旧的设备

自 2022 年 1 月 7 日起,支持的最低版本为:

  • 适用于移动设备管理的 Android 8.0 (MDM)
  • 适用于移动应用程序管理的 Android 9.0 (MAM)

运行当前在 Intune 中注册的较旧版本的 Android 设备不会收到 Android 公司门户 应用或 Intune 应用的更新。 这些应用在 Google Play 商店中不可用。 如果在此更改之前下载了这些应用,则不会阻止设备注册。 应用于这些设备的策略将继续部署,但设备不处于支持状态。

如果当前组织中有运行较旧 Android 版本的设备,请升级或替换它们。 使用本文中的信息来帮助你定义更新策略。 使用较新的 OS 版本可提高用户和组织的效率和安全性。

有关版本的详细信息,请转到 Intune 中支持的操作系统和浏览器

后续步骤