分享方式:

在 Intune 中管理 macOS 軟體更新原則

  • 文章

您可以使用 Microsoft Intune 來管理註冊為受監督裝置之 macOS 裝置的軟體更新。

本功能適用於:

  • macOS 12 和更新版本 (受監督)

    注意事項

    在macOS 12.5版本之前,裝置可能會先下載並安裝其他更新,再安裝最新的更新。

提示

您可以使用 Intune 設定目錄 來管理宣告式軟體更新。 宣告式裝置管理 (DDM) 提供改善的用戶體驗,因為裝置會處理整個軟體更新生命週期。 如需詳細資訊,請移至 使用設定目錄管理軟體更新

使用 macOS 軟體更新的原則,您可以:

  • 遠端管理當下列類型的更新可供 macOS 使用時,應該如何進行下載、安裝和通知:

    • 重大更新
    • 韌體更新
    • 組態檔更新
    • 所有其他更新 (操作系統、內建應用程式)

  • 指定決定更新安裝時間的排程。 排程可以像下次裝置簽入時安裝更新一樣簡單,或建立可安裝或封鎖安裝更新的日間時間範圍。

根據預設,裝置大約每隔 8 小時會使用 Intune 簽入一次。 如果更新可透過更新原則取得,裝置就會下載更新。 裝置接著會在排程設定內的下次簽入時安裝更新。

設定原則

  1. 登入 Microsoft Intune 系統管理中心

    提示

    如需管理軟體更新和裝置更新體驗的詳細資訊,請參閱 管理 Apple 裝置的軟體更新 - Apple 平臺部署網站上的 Apple 支援。

  2. 選取macOS> 的 [裝置>更新原則] [建立配置檔]

  3. 在 [基本] 索 引標籤上 ,指定此原則的名稱、指定 (選擇性) 的描述,然後選取 [ 下一步]

  4. 在 [ 更新原則設定] 索引標籤上 ,設定下列選項:

    [更新原則設定] 頁面的螢幕快照。

    1. 針對 [重大]、 [韌體]、[ 組態檔][操作系統 (所有其他更新,內建應用程式) ,可以設定下列安裝動作:

      • 下載並安裝:下載或安裝更新,視目前的狀態而定。

      • 僅下載:下載軟體更新而不安裝。

      • 立即安裝:下載軟體更新並觸發重新啟動倒數通知。 此動作建議用於無用戶裝置。

      • 僅通知:下載軟體更新,並透過 [系統設定] 通知使用者。

      • 稍後安裝:下載軟體更新,稍後再安裝。 此動作不適用於主要OS升級。

        當您 稍後 為 *OS、內建應用程式 () 的所有其他更新設定安裝時,也會提供下列設定:

        • 使用者延遲上限
          [所有其他更新] 更新 類型設定為 [稍後安裝] 時,此設定可讓您指定使用者在安裝次要操作系統更新之前可以延遲的次數上限。 系統會每天提示使用者一次。 適用於執行macOS 12和更新版本的裝置。

        • 優先順序:當 [所有其他更新] 更新 類型設定為 [ 稍後安裝] 時,請針對下載 & 準備次要 OS 更新的排程優先順序指定 [低 ] 或 [ ] 值。 適用於執行macOS 12.3和更新版本的裝置。

      • 未設定:未對軟體更新採取任何動作。

      注意事項

      使用 Apple Silicon 的裝置需要 MDM 發行的啟動程式令牌,才能驗證自動化的非互動式更新和升級。

    2. 排程類型:設定此原則的排程:

      • 下次簽入時更新:更新會在下次簽入 Intune 時安裝在裝置上。 此選項最簡單,而且沒有額外的設定。

      • 在排程的時間期間更新:您可以設定一或多個時間範圍。 在這些期間,更新會在簽入時安裝。

      • 在排程時間之外更新:您可以設定一或多個時間範圍。 在這些期間,更新不會在簽入時安裝。

    3. 每週排程:如果您 在下次簽入時選擇更新以外的排程類型,請設定下列選項:

      [更新原則排程] 設定的螢幕快照。

      • 時區:選擇時區。

      • 時間範圍:定義一或多個限制更新安裝時間的時間區塊。 下列選項的效果取決於您選取的排程類型。 使用開始日和結束日時,支援隔夜區塊。 選項包括:

      • 開始日:選擇排程視窗開始的日期。

      • 開始時間:選擇排程時間範圍開始的時間日。 例如,您選取 [上午 5 點],並在 排程時間內具有 [更新] 的 [排程] 類型。 在此案例中,5 AM 是開始安裝更新的時間。 如果您選擇排 程時間以外的更新排程類型,則 5 AM 是無法安裝更新的一段時間的開始時間。

      • 結束日:選擇排程窗口結束的日期。

      • 結束時間:選擇排程視窗停止的當日時間。 例如,您選取 [上午 1 點],在 排程時間內的 [排程] 類型為 [更新]。 在此案例中,1 AM 是無法再安裝更新的時間。 如果您選擇排 程時間以外的排程更新類型,則 1 AM 是更新可以安裝的一段時間的開始時間。

    如果您未設定開始或結束的時間,則組態不會造成任何限制,而且隨時都可以安裝更新。

    提示

    您可以部署設定類別目錄原則,在受監督的macOS裝置上隱藏裝置使用者的更新一段時間。 如需詳細資訊,請參閱下一節 延遲更新可見度

  5. 設定更新原則 設定之後,選取 [ 下一步]

  6. 如果您想要將標籤套用至更新原則,請在 [ 範圍卷 標] 索引標籤上選取 [+ 選取範圍 標籤] 以開啟 [ 取卷標] 窗格。

    • 在 [ 選取卷標] 窗格上,選擇一或多個捲標,然後 取將其新增至原則,然後返回 [ 範圍卷標] 窗格。

    • 準備就緒時,選取 [下一步 ] 以繼續進行 [ 指派]

  7. 在 [ 指派] 索引標籤 上,選擇 [+ 選取要包含的群組 ],然後將更新原則指派給一或多個群組。 使用 + 選取要排除的群組 來微調指派。 準備就緒時,請選取 [下一步 ] 繼續。

    原則的目標使用者所使用的裝置會評估更新合規性。 此原則也支援無用戶裝置。

  8. 在 [ 檢閱 + 建立] 索引標籤上檢閱設定, 然後選取 [準備儲存 macOS 更新原則時建立]。 您的新原則會顯示在macOS的更新原則清單中。

注意事項

Apple MDM 不允許您強制裝置在特定時間或日期安裝更新。 您無法使用 Intune 軟體更新原則來降級裝置上的 OS 版本。

更新的延遲可見性

當您使用macOS的更新原則時,您可能會想要在指定的期間內隱藏受監督macOS裝置使用者的更新。 針對這項工作,請針對設定更新限制期間的macOS裝置使用設定目錄原則。

限制期間可讓您有時間在更新可供使用者安裝之前進行測試。 限制期間結束后,使用者會看到更新,而且如果您的更新原則未先安裝更新,他們可以選擇安裝它。

如果您使用裝置限制來隱藏更新,請檢閱您的軟體更新原則,以確保它們不會在限制期間結束之前排程該更新的安裝。 軟體更新原則會根據其排程安裝更新,而不論裝置使用者是否隱藏或可見更新。

可限制macOS裝置上更新可見性的設定位於 [設定目錄>限制 ] 類別中。 您可以用來延遲更新的一些設定範例包括:

  • 強制軟體更新延遲
  • 強制軟體更新主要 OS 延遲安裝延遲
  • 強制軟體更新非 OS 延遲安裝延遲

您也可以在 [系統 匯報>][軟體更新] 類別底下找到相關設定,以管理使用者如何透過其系統UI手動與更新互動。 不過,來自目標更新原則的更新會覆寫這些設定目錄原則設定。

編輯原則

您可以編輯現有的原則,包括變更受限制的時間:

  1. 取 [裝置>] [更新 macOS 的原則]。 選取您想要編輯的原則。

  2. 檢視原則 [ 內容] 時,請針對您想要修改的原則頁面選取 [ 編輯 ]。

    原則編輯頁面的螢幕快照。

  3. 引進變更之後,請選取 [ 檢閱 + 儲存>] 以儲存您的編輯。

注意事項

如果 [開始時間 ] 和 [ 結束時間 ] 都設定為 [上午 12 點],Intune 不會檢查何時安裝更新的限制。 這表示您在 [選取時間] 中擁有的任何設定都會忽略以防止更新安裝 ,而且可以隨時安裝更新。

使用設定目錄設定更多 macOS 軟體更新設定

[限制] 類別包含下列設定,可用來延遲裝置上 macOS 軟體更新的可見性 (裝置>macOS> 組態配置檔>建立>新的原則>設定目錄>限制) :

  • 強制軟體更新延遲:設定延遲裝置上軟體更新的天數。 有了這項限制,用戶在軟體更新發行日期之後的指定天數內才會看到軟體更新。 強制延遲的應用程式軟體 匯報和強制延遲軟體 匯報 會使用值。

  • 強制延遲 App Software 匯報:如果為 true,則會延遲 Safari、XProtect 和 Gatekeeper 等內建軟體的非 OS 軟體 匯報 使用者可見度。 需要受監督的裝置。 除非 強制軟體更新延遲 設定為另一個值,否則延遲為30天。

  • 強制軟體更新非 OS 延遲安裝延遲:此限制可讓系統管理員設定延遲裝置上應用程式軟體更新的天數。 當這項限制就緒時,使用者只會在軟體發行后的指定延遲之後,才會看到非OS軟體更新。 此值可控制強制延遲 App Software 匯報 的延遲。

  • 強制延遲的主要軟體 匯報:如果設為 true,則會延遲使用者對 OS Software 的重大升級可見度。

  • 強制軟體更新主要 OS 延遲安裝延遲:這項限制可讓系統管理員設定延遲裝置上主要軟體升級的天數。 主要軟體升級是新的主要操作系統版本;例如,macOS 12 Monterrey 和 macOS 13 Ventura。 當這項限制就緒時,使用者只有在軟體升級發行后的指定延遲之後,才會看到軟體升級。 此值可控制強制延遲主要軟體 匯報的延遲。

  • 強制延遲軟體 匯報:如果為 true,則會延遲使用者看到軟體更新。 在macOS中,允許種子組建更新,而不會延遲。 除非 強制軟體更新延遲 設定為另一個值,否則延遲為30天。

  • 強制軟體更新次要 OS 延遲安裝延遲:這項限制可讓系統管理員設定延遲裝置上次要 OS 軟體更新的天數。 次要軟體更新是在主要OS升級之間發行的中繼更新;例如,macOS 13.1 和macOS 13.2。 當這項限制就緒時,使用者只會在軟體更新發行后的指定延遲之後看到軟體更新。 此值可控制強制延遲軟體 匯報的延遲。

[軟體更新] 類別包含下列設定,可用來設定裝置上 macOS 軟體更新選項的使用者體驗 (> 裝置macOS> 組態配置檔>建立>新的原則>設定目錄>系統 匯報>軟體更新) :

  • 允許發行前安裝:如果為 true,則可以在這部電腦上安裝發行前版本軟體。

  • 自動檢查已啟用:如果為 false,請取消選取 [檢查更新] 選項,並防止使用者變更選項。

  • 自動下載:如果為 false,請取消選取 [從 App Store 取得時下載新的更新] 選項,並防止使用者變更選項。

  • 自動安裝應用程式 匯報:如果為 false,請取消選取 [從 App Store 安裝應用程式更新] 選項,並防止使用者變更選項。

  • 自動安裝macOS 匯報:如果為 false,則限制 [安裝 macOS 匯報] 選項,並防止使用者變更選項。

  • 設定數據安裝:如果為 false,則會限制設定數據的自動安裝。

  • 重大更新安裝:如果為 false,則停用重大更新的自動安裝,並防止使用者變更 [安裝系統數據檔和安全性更新] 選項。

  • 限制軟體更新 需要 管理員 安裝:如果為 true,請將應用程式安裝限制為系統管理員使用者。 此金鑰的功能與 App Store 類別中的 [限制存放區需要 管理員 安裝] 設定相同。

監視裝置上的更新安裝失敗

在 Microsoft Intune 系統管理中心,移至macOS裝置>的裝置監視器>安裝狀態

Intune 會顯示更新原則的目標受監督 macOS 裝置清單。 此清單不包含最新且狀況良好的裝置,因為macOS裝置只會傳回安裝失敗的相關信息。

針對清單上的每個裝置,[安裝狀態] 會顯示裝置傳回的錯誤。 若要檢視可能的安裝狀態值清單,請在 [macOS 裝置的安裝狀態 ] 頁面上選取 [ 篩選] ,然後展開 [ 安裝狀態] 的下拉式清單。

後續步驟

監視裝置配置檔