Instalace a vynucení softwarových aktualizací na zařízeních Apple
Pomocí deklarativní správy zařízení můžou organizace nakonfigurovat různé aspekty procesu softwarových aktualizací. Patří mezi ně spravování dostupnosti softwarových aktualizací, vynucení softwarových aktualizací, registrace zařízení v betaprogramech apod.
Vyžadování minimální verze během registrace
Počínaje iOS 17, iPadOS 17 a macOS 14, můžou služby MDM během automatické registrace vynucovat minimální verzi operačního systému. Pokud na zařízení není nainstalovaná minimální verze požadovaná službou správy mobilních zařízení (MDM), je uživatel před dokončením procesu nastavení v Průvodci nastavením proveden aktualizací. Při použití automatického posouvání proběhne tentýž proces automaticky. Tato volba pomáhá zajistit, aby na zařízeních ve vlastnictví organizace byla před uvedením do provozu nainstalovaná potřebná verze operačního systému.
Správa dostupnosti softwarových aktualizací
Je možné, že organizace budou chtít mít pod kontrolou verze, na které uživatelé můžou aktualizovat svá zařízení. Taková kontrola může například obnášet ověření aktualizace u testovací skupiny, než bude uživatelům povolena její instalace a využívání v praxi, nebo zavedení různých odložení v různých skupinách, aby se nejnovější aktualizace uváděly do provozu postupně.
Časové odložení
Na zařízeních pod dohledem lze zabránit nabízení OTA aktualizací softwaru, dokud od jejich veřejného zpřístupnění společností Apple neuplyne určený čas. Řekněme například, že všechny firemní iPhony používají systém iOS 17.3 a konfiguraci pro odložení softwarové aktualizace o 30 dní. V takovém případě bude uživatelům na jejich spravovaných zařízeních nabídnut systém iOS 17.4 30 dnů po datu vydání systému iOS 17.4.
Jako součást dané konfigurace budou mít organizace možnost nastavit vlastní dobu odložení v rozmezí 1 až 90 dní. V případě iOS a iPadOS bude tato prodleva platit pro aktualizace a upgrady obou operačních systémů. V systému macOS lze nastavit různé doby odložení pro aktualizace a upgrady operačního systému i aktualizace, které se operačního systému netýkají. Mezi aktualizace, které se netýkají operačního systému, patří aktualizace Safari, XProtect, ovladačů tiskáren a nástrojů příkazového řádku Xcode. V systému macOS lze vlastní nastavení odložení použít například tak, aby doba odkladu pro upgrade softwaru byla delší než pro aktualizaci softwaru.
Poznámka: OTA aktualizace softwaru je obvykle k dispozici až 180 dní od data vydání, aby byla vždy zajištěna dostupnost aktualizací i pro spravovaná zařízení, na kterých je nastavená maximální možná doba odkladu.
Doporučená četnost v systému iOS a iPadOS
Kromě stanovení časových odkladů můžou organizace určit, zda uživatelé zařízení iPhone nebo iPad pod dohledem budou mít možnost upgradovat na novější, hlavní verzi, nebo pokračovat v používání stávající verze a nadále využívat dílčích aktualizací i poté, co je k dispozici upgrade.
Například na iPhonu se systémem iOS 17.6 jsou tři možnosti:
Nabídnout uživatelům pouze další aktualizace systému iOS 17.
Nabídnout uživatelům pouze upgrade na systém iOS 18.
Umožnit uživatelům výběr: dalších aktualizací systému iOS 17 (například na iOS 17.7) nebo upgradu na iOS 18.
První možnost je k dispozici jen po omezenou dobu a uživatelé díky ní můžou využívat důležité aktualizace zabezpečení, zatímco se dokončuje testování před schválením hlavního upgradu pro provoz v daném prostředí.
V kombinaci s odklady lze použít doporučenou četnost. Podle výše uvedeného příkladu ji lze použít pro zachování systému iOS 17 na zařízeních, zatímco se po stanovenou dobu odloží jen aktualizace softwaru (například iOS 17.7).
Automatická instalace aktualizací softwaru
V systémech iOS 18, iPadOS 18, macOS 14 a novějších můžou organizace na zařízeních pod dohledem spravovat chování automatických aktualizací softwaru.
Automatické aktualizace softwaru (nikoli upgrady)
Pro stahování a přípravu automatických aktualizací softwaru jsou k dispozici následující možnosti konfigurací:
O zapnutí automatického stahování rozhodne uživatel.
Vypnuté automatické stahování aktualizací.
Zapnuté automatické stahování aktualizací.
Pro instalaci automatických aktualizací a upgradů softwaru jsou k dispozici následující možnosti konfigurací:
O zapnutí automatických instalací aktualizací rozhodne uživatel.
Vypnuté automatické instalace aktualizací.
Zapnuté automatické instalace aktualizací.
Poznámka: Tato možnost vyžaduje zapnutí automatického stahování.
Tyto možnosti poskytují organizaci podrobnější kontrolu nad definováním nejvhodnějšího přístupu k automatickým aktualizacím softwaru.
V systému macOS je k dispozici další nastavení s týmiž třemi volbami konfigurace pro aktualizace zabezpečení, které zahrnují aktualizace pro XProtect, Gatekeeper a systémové datové soubory. Další informace najdete v článku podpory Apple: Aktualizace na pozadí v macOS.
Automatické rychlé opravy zabezpečení
Rychlých oprav zabezpečení se netýká odložení aktualizace spravovaného softwaru. Protože se uplatňují jen v nejnovější podverzi operačního systému, bude v případě odložení této aktualizace odložena také rychlá oprava zabezpečení.
Organizace můžou určit, zda se rychlé opravy zabezpečení použijí automaticky a zda se uživatelům povolí je po použití odstranit.
Vyžadování autorizace správcem v systému macOS
Organizace můžou změnit výchozí chování a pro instalaci softwarové aktualizace vyžadovat autorizaci místního správce. Toho lze například využít při nasazení, kdy jsou zařízení sdílená více uživateli a je třeba určit, kdo může aktualizace provádět.
Vynucení softwarových aktualizací
Organizace si ve zvoleném čase můžou vynutit konkrétní aktualizace softwaru, a to bez ohledu na nakonfigurované odklady, nebo v případě, že je vypnutá automatická instalace rychlých oprav zabezpečení. To pomáhá zajistit, aby spravovaná zařízení do určitého data a času používala stanovenou verzi, a uživatelé měli možnost si aktualizaci nainstalovat až tehdy, kdy jim to bude vyhovovat (před datem vynucení).
Datum a čas vynucení jsou relativní vůči místnímu časovému pásmu zařízení. To umožňuje použití téže konfigurace v různých oblastech. Pokud je například pro datum vynucení nastaven čas 18:00, zařízení se pokusí provést aktualizaci v 18:00 zadaného dne podle místního časového pásma zařízení.
Když je vyhlášena aktualizace softwaru, uživatelé jsou informováni o jejím termínu:
v Nastavení (iOS a iPadOS) a v Nastavení systému (macOS)
v oznámení
Podle toho, kolik času zbývá do termínu vynucení, bude oznámení nabízet různé možnosti (popsané níže). Aby měli uživatelé lepší přehled a aktuální informace o daném procesu, můžou se o aktualizaci dozvědět více prostřednictvím odkazu „Více informací“.
Pokud uživatel nezahájí instalaci ihned, budou se oznámení a různé možnosti zobrazovat v závislosti na čase, který zbývá do vynucení; s blížícím se datem vynucení pak častěji. Uživatele mají pobídnout k instalaci aktualizace v době, která mu vyhovuje. Zobrazování těchto oznámení uživateli pomůže zajistit ignorování funkce Nerušit 24 hodin před vynucením.
V iOS 18, iPadOS 18 a macOS 15 můžou organizace případně nastavit oznámení tak, aby se zobrazovala jen 1 hodinu před termínem vynucení a ukazovala odpočítávání do restartu. Sníží se tak množství oznámení zobrazených na zařízeních – když například nejsou přímo přiřazeny uživateli (jako v případě nasazení režimu kiosku).
Pokud se má aktualizace zahájit a autorizovat z oznámení nebo z Nastavení či Nastavení systému, vyzve systém uživatele k zadání přístupového kódu nebo hesla.
V případě, že uživatel nenainstaloval aktualizaci před datem vynucení:
systémy iOS a iPadOS od uživatele požadují zadání přístupového kódu (pokud je nastavený a nebyl zadán už dříve)
systém macOS vynutí ukončení všech otevřených aplikací (bez ohledu na veškeré dokumenty, které jsou otevřené a neuložené) a v případě potřeby provede restart
v případě Maců s čipy Apple použije Mac k autorizaci aktualizace bootstrapový token (pokud je dostupný) nebo vyzve uživatele k zadání přihlašovacích údajů
Pokud se má vynutit instalace aktualizace, upgradu nebo rychlých oprav zabezpečení, musí zařízení splňovat tytéž požadavky jako v případě aktualizace téhož typu zahájené uživatelem.
Hlavní výhodou deklarativní správy zařízení je autonomie zařízení. Místo spuštění jednotlivých akcí deklaruje služba MDM požadovaný stav a dosažení tohoto stavu svěří samotnému zařízení. Konkrétním příkladem tohoto chování je situace, kdy datum vynucení softwarové aktualizace bylo promeškáno, protože zařízení nesplňovalo dané požadavky. Zařízení automaticky zjistí, že deklarovaného stavu zatím nebylo dosaženo, a bude v procesu pokračovat po připojení k internetu.
Aby to bylo možné (v případě potřeby), operační systém stáhne a připraví aktualizaci a zveřejní další oznámení informující uživatele, že lhůta na provedení instalace vypršela a že se instalaci pokusí provést během následující hodiny. V případě, že z nějakého důvodu opět dojde k přerušení procesu, bude se proces opakovat při příštím zapnutí zařízení a jeho připojení k internetu.
Pomocí stavových zpráv, které jsou v případě deklarativní správy zařízení k dispozici, můžou služby MDM také získat lepší přehled o stavu instalace – například o čekání na aktualizaci, stahování a přípravě nebo instalaci aktualizace. Pro případ, že vydání nebylo možné použít nebo úspěšně dokončit jeho instalaci, byly přidány srozumitelné chybové kódy. Příklady: Zařízení bylo offline, baterie byla nedostatečně nabitá nebo nebyl k dispozici dostatek volného místa.
Aktualizace systému iPadOS na sdíleném iPadu
Softwarové aktualizace na sdílených iPadech můžou být zahájeny bezdrátově prostřednictvím služby MDM, ve které je sdílený iPad zaregistrovaný. Pokud je zařízení fyzicky připojeno, lze také použít Finder nebo Apple Configurator na Macu.
Pokud se má provést aktualizace na sdíleném iPadu, musí být uživatelé odhlášení, ale můžou zůstat uložení v mezipaměti zařízení. Pokud instalace vyžaduje více volného místa než je aktuálně k dispozici, musí se odstranit data uživatelských účtů uložená v mezipaměti. Vzhledem k nezávislosti deklarativní správy zařízení bude zařízení opakovat pokusy o instalaci nového vydání, dokud se to nepodaří.
V zájmu minimalizování prostojů by aktualizace sdílených iPadů měly být naplánovány tak, aby probíhaly mimo pracovní dobu, kdy mají nejmenší dopad na uživatele a síť.
Další informace najdete v části Aktualizace a upgrady systému iPadOS pro sdílený iPad.