Usar MDM para implementar actualizaciones de software en dispositivos Apple
La gestión declarativa de dispositivos es el futuro de la gestión de dispositivos de Apple. Permite al dispositivo aplicar ajustes de manera asíncrona y enviar un informe de estado a la solución de gestión de dispositivos móviles (MDM) sin enviar consultas constantemente. Esto resulta ideal para el rendimiento y la posibilidad de ampliación, y permite aplicar un modelo de gestión de actualizaciones de software moderno. La gestión declarativa de dispositivos permite realizar informes de estado proactivos de los dispositivos cada vez que cambian los valores y las configuraciones. De este modo, la solución MDM siempre tiene una visión actualizada de los dispositivos sin tener que realizar consultas periódicas.
En lugar de enviar un comando de actualización de software a un dispositivo para iniciar una actualización, la solución MDM declara el estado de la versión del sistema operativo deseado y, para alcanzar dicho estado, delega en el propio dispositivo la tarea. Esto permite un proceso de actualización de software gestionado más resistentes y una mayor transparencia para los usuarios.
Importancia de utilizar las declaraciones de las actualizaciones de software
Las soluciones MDM deberían utilizar las declaraciones de las actualizaciones de software siempre que sea posible. Sin embargo, los comandos de actualización de software y perfiles antiguos siguen disponibles y siguen siendo compatibles. Pueden funcionar junto con las declaraciones de actualización de software con los siguientes cambios:
Las posposiciones definidas por las declaraciones tienen prioridad sobre las posposiciones configuradas por las restricciones.
Los ajustes de actualización de software automática aplicados por una declaración tienen prioridad sobre los ajustes de actualización automática de los perfiles de configuración.
Cuando hay una actualización de software pendiente configurada mediante la gestión declarativa de dispositivos, el cliente deja de procesar ciertos comandos MDM y devuelve errores que comunican que hay una declaración activa en el dispositivo, tal y como se muestra en la siguiente tabla:
Comando de MDM | Resultado | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| Limitado: En macOS, las actualizaciones de sistema operativo que no estén gestionadas pueden aparecer en la respuesta de comandos (por ejemplo, en Xcode o en las herramientas de línea de comandos). | ||||||||||
| El dispositivo devuelve un error | ||||||||||
| El dispositivo devuelve un vector de estado vacío. |
Uso del servicio de consulta del software de Apple
El Servicio de consulta del software de Apple (disponible en https://gdmf.apple.com/v2/pmv) es el recurso oficial para obtener una lista de respuestas rápidas de seguridad y actualizaciones disponibles públicamente. Permite que una solución MDM envíe consultas a las versiones en cuanto se publiquen y calcule la aplicabilidad para cada modelo de hardware de una forma puntual y precisa.
La respuesta JSON contiene tres listas de versiones de software disponibles:
PublicAssetSets: Esta lista contiene las versiones más recientes que están disponibles para el público en general si se intentan instalar actualizaciones.
AssetSets: Esta lista es un subconjunto de PublicAssetSets e incluye todas las versiones disponibles que las soluciones MDM pueden enviar a los dispositivos supervisados.
PublicRapidSecurityResponses: Esta lista contiene las publicaciones de actualizaciones de respuesta rápida de seguridad disponibles actualmente para dispositivos Apple.
Cada uno de los elementos de la lista contiene el número de versión (ProductVersion
) y compilación (Build
) del sistema operativo, la fecha de publicación (PostingDate
), la fecha de caducidad (ExpirationDate
) y una lista de dispositivos compatibles (SupportedDevices
) con esa versión. La lista de dispositivos coincide con el valor de ProductName
del dispositivo, que se devuelve con la respuesta DeviceInformation
, la solicitud Authenticate
inicial o en la MachineInfo
cuando el dispositivo intenta inscribirse.
La fecha de caducidad, que suele establecerse en 180 días después de la fecha de publicación, define la fecha en la que caduca la firma de la actualización. Una vez caducada, una actualización no se puede instalar en dispositivos. Al publicar actualizaciones posteriores, se podrían actualizar las fechas de caducidad de las actualizaciones anteriores. Si no se proporciona una fecha de caducidad es porque la actualización no ha caducado aún. Una actualización solo ha caducado cuando tiene una fecha de caducidad pasada.
Los componentes se agrupan por plataforma de sistema operativo mediante las siguientes claves:
iOS
(que incluye iPadOS, tvOS y watchOS)macOS
xrOS
(visionOS)
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "17.5",
"Build": "21F6079",
"PostingDate": "2024-05-13",
"ExpirationDate": "2024-08-15",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
Usa la lista de versiones del producto para determinar qué versiones son posteriores a la versión actual del sistema operativo del dispositivo y son aplicables a un dispositivo concreto. Proporciona esa lista de versiones al administrador de MDM como posibles candidatos a la actualización del sistema operativo.
Envío de un informe de estado a la solución MDM
Para recibir actualizaciones de los ítems de estado según cambian, el servidor debe estar suscrito a cada informe de estado enviando al dispositivo una declaración ManagementStatusSubscriptions
. A continuación, el dispositivo envía un StatusReport
a la solución MDM cuando se activa una declaración ManagementStatusSubscriptions
, cada vez que cambia el estado de un ítem suscrito y cada 24 horas.
Con el fin de supervisar las versiones de sistema operativo y el estado de las actualizaciones de software, puede que la solución MDM se suscriba a los siguientes informes de estado:
Informe de estado | Description |
---|---|
| La versión de la compilación del sistema operativo del dispositivo (por ejemplo, 21E219). |
| La versión del sistema operativo que se está utilizando en el dispositivo (por ejemplo, 17.4). |
| Las versiones de la compilación y la respuesta rápida de seguridad del sistema operativo que se están utilizando en el sistema operativo, (por ejemplo, 20A123a o 20F75c). |
| La versión de la respuesta rápida de seguridad del sistema operativo que se está utilizando en el dispositivo (por ejemplo, a). |
| Un diccionario que contiene las versiones de la compilación y el sistema operativo de la actualización de software que está pendiente en el dispositivo. |
| El estado de instalación de la actualización de software, que tiene los siguientes valores:
|
| Un diccionario con datos sobre el motivo para que una actualización de software esté pendiente. La clave
|
| Datos sobre una actualización de software fallida. Los detalles incluyen el número de veces que ha fallado la actualización de software, la última marca de fecha y hora del fallo y el motivo del fallo. |
| El nombre del programa beta en el que está inscrito el dispositivo o, si no lo está, una cadena vacía. |
Además de los otros informes, las soluciones MDM también pueden querer que softwareupdate.install-reason
esté disponible para los administradores con fines de asistencia técnica y para proporcionarles más información sobre cómo se inició una actualización. Este diccionario puede utilizarse para determinar si un usuario ha iniciado o no la actualización por sí mismo, si la actualización se instaló automáticamente o si lo que inició la actualización de software fue una declaración de imposición.
Solicitar una versión mínima de software concreta durante la inscripción en MDM
Si un dispositivo admite esta función, devuelve una clave MDM_CAN_REQUEST_SOFTWARE_UPDATE, ajustada a Verdadero, en los datos MachineInfo
que envía en la solicitud HTTP POST inicial a la solución MDM cuando el dispositivo detecta una configuración de gestión en el asistente de configuración. Para obtener más información, consulta el archivo yaml de MachineInfo en el repositorio GitHub de gestión de dispositivos Apple.
Además, los dispositivos ofrecen los siguientes campos en los datos de MachineInfo
(todos ellos, cadenas) :
Clave | Sistema operativo compatible mínimo | Description | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
VERSIÓN | iOS 17 iPadOS 17 macOS 14 | La versión de la compilación instalada en el dispositivo (por ejemplo, 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | La versión del sistema operativo instalada en el dispositivo (por ejemplo, 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | La versión de la respuesta rápida de seguridad del dispositivo (si hay alguna disponible). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | La versión extra de la respuesta rápida de seguridad del dispositivo (si hay alguna disponible). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | El identificador del modelo de dispositivo utilizado para buscar las actualizaciones del sistema operativo disponibles en el servicio de consulta del software de Apple. |
En función de la información proporcionada, la solución MDM puede decidir si imponer la actualización o no al dispositivo.
Si una solución elige no imponer una actualización de software, se limita a devolver el perfil de inscripción de MDM a la solicitud POST de HTTP, que es lo que normalmente haría para permitir una inscripción MDM para continuar.
Si la solución MDM elige imponer una actualización de software, debe devolver una respuesta HTTP con el código de estado 403 e incluir un objeto JSON o XML en el cuerpo de la respuesta (la cabecera de la respuesta Content-Type de HTTP debe enviarse a
application/json
oapplication/xml
, respectivamente).
Tras recibir esta respuesta de error, el dispositivo intenta actualizar a la versión especificada. Si la actualización se instala con éxito, el dispositivo se reinicia y el usuario debe repetir los pasos del asistente de configuración. La próxima solicitud POST de MachineInfo
del dispositivo a la solución MDM mostrará la versión actualizada del sistema operativo y la solución MDM puede proceder con la inscripción en MDM. Si la actualización falla, se muestra un error al usuario y, en el asistente de configuración, vuelve a aparecer el panel de gestión remota.
El esquema response
se define en la siguiente tabla.
Clave | Tipo | Obligatorio | Description | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| string (cadena); | Sí | Debe ajustarse a | ||||||||
| string (cadena); | No | La descripción del error. Solo se usa con fines de registro. | ||||||||
| string (cadena); | No | La descripción del error apta para mostrarse al usuario. | ||||||||
| Diccionario | Sí | Otros datos que especifican la actualización de software. |
El esquema del diccionario details
se define aquí.
Clave | Tipo | Obligatorio | Description | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| string (cadena); | Sí | La versión del sistema operativo a la que debe actualizar el dispositivo. | ||||||||
| string (cadena); | No | La versión de la compilación a la que debe actualizar el dispositivo. | ||||||||
| Diccionario | No | El dispositivo se inscribe en el programa beta, lo que permite la imposición de las actualizaciones de software a versiones del sistema operativo del programa beta. Una vez instalada la actualización de software forzada, el dispositivo permanece en el programa beta. |
Si solo se especifica OSVersion
, el dispositivo descarga e instala automáticamente cualquier respuesta rápida de seguridad que esté disponible para esta versión. En caso de que sea necesaria una compilación o versión suplementaria específica, la solución MDM también puede especificar BuildVersion
. Por ejemplo, para obligar a instalar iOS 16.5.1(a) en un dispositivo antes de inscribirlo —aunque iOS 16.5.1(c) ya esté disponible—, la solución MDM debe ajustar OSVersion
a iOS 16.5.1 y BuildVersion
, a 20F770750b.
Importante: Antes de macOS 15, solo pueden especificarse las versiones de las listas PublicAssetSets
y PublicRapidSecurityResponses
. En macOS 15, también pueden utilizarse los componentes AssetSets
.
Ajustes de MDM para las actualizaciones de software
La declaración com.apple.configuration.softwareupdate.settings
(disponible en iOS 18, iPadOS 18 y macOS 15) está formada por diccionarios que pueden utilizarse para configurar varios aspectos del comportamiento de las actualizaciones de software.
Una vez que una solución MDM ha distribuido distintas claves en varias declaraciones, el dispositivo fusiona los ajustes de todas las declaraciones de ajustes de las actualizaciones de software activas. En caso de que la misma clave esté configurada por varias declaraciones, el comportamiento de fusión depende de cada clave concreta, que se recoge en las siguientes tablas.
Configuración de las actualizaciones de software automáticas con MDM
La declaración com.apple.configuration.softwareupdate.settings
ofrece un diccionario para definir el comportamiento de las actualizaciones de software automáticas en dispositivos iPhone, iPad y Mac supervisados. Para obtener más información, consulta Claves del diccionario AutomaticActions.
Cómo gestiona MDM las respuestas rápidas de seguridad
Las respuestas rápidas de seguridad siempre se aplican a la actualización más reciente de un sistema operativo, que pasa a convertirse en la versión base de la respuesta rápida de seguridad. Por ejemplo, si un iPhone tiene instalada la versión de sistema operativo iOS 17.2, aplica la actualización suplementaria 17.2 (a), si la hay. En iOS 18, iPadOS 18 y macOS 15, se han puesto a disposición actualizaciones combinadas que permiten que una actualización de software incluya cualquier respuesta rápida de seguridad.
Antes de iOS 18, iPadOS 18 y macOS 15, puede que la solución MDM tenga que iniciar dos actualizaciones de software para asegurarse de que esté presente una versión suplementaria en concreto: primero, debe actualizar el dispositivo a la versión base de la actualización suplementaria, si el dispositivo aún no está en esa versión base (por ejemplo, de iOS 17.1 a iOS 17.2); después, debe actualizar la versión base a la versión suplementaria (por ejemplo, de iOS 17.2 a iOS 17.2 (a)).
En iOS 18, iPadOS 18 y macOS 15, una solución MDM puede especificar:
Bien la versión del sistema operativo (que instala las respuestas rápidas de seguridad disponibles automáticamente)
Bien la versión de la compilación suplementaria (mediante la cual el dispositivo realiza una actualización necesaria de la versión base automáticamente como parte del proceso)
Estos dos modelos se aplican a la configuración de la imposición de las actualizaciones de software y a la versión mínima impuesta durante la inscripción automatizada de dispositivo.
La declaración com.apple.configuration.softwareupdate.settings
también puede utilizarse para configurar el comportamiento de las respuestas rápidas de seguridad en dispositivos iPhone, iPad y Mac supervisados. Para obtener más información, consulta Claves del diccionario RapidSecurityResponsede iOS, iPadOS y macOS.
Posponer una actualización de software con MDM
Las actualizaciones de software, principales o secundarias, pueden posponerse entre 1 y 90 días mediante la declaración com.apple.configuration.softwareupdate.settings
en dispositivos iPhone, iPad y Mac supervisados.
Una posposición configurada define el número de días que a los usuarios no se les ofrece una versión una vez que está disponible públicamente. Con independencia de una posposición configurada, una solución MDM puede seguir imponiendo una actualización de software, principal o secundaria, específica o una respuesta rápida de seguridad en los dispositivos gestionados. Para obtener más información, consulta Claves del diccionario Deferrals de iOS y iPadOS y Claves del diccionario Deferrals de macOS.
Nota: Posponer las actualizaciones de software pospone, asimismo, cualquier respuesta rápida de seguridad que dependa de esa versión.
Imposición de actualizaciones de software con MDM
Para imponer la instalación de una actualización de software en un plazo determinado en dispositivos inscritos mediante la inscripción de dispositivo o la inscripción automatizada de dispositivo, las soluciones MDM pueden aplicar la declaración com.apple.configuration.softwareupdate.enforcement.specific
.
Si una configuración especifica un sistema operativo o versión de compilación que es la misma o más antigua que la versión actual del dispositivo, la configuración se omite.
Si están presentes varias configuraciones con un sistema operativo o una versión de compilación más nuevos que la versión actual del dispositivo, primero se procesa la configuración cuya fecha y hora sea anterior y las demás se pondrán a la cola. Cuando el dispositivo se actualiza a una nueva versión, el conjunto de configuraciones se reprocesan para determinar el orden de procesamiento.
Las respuestas rápidas de seguridad disponibles se instalan automáticamente si una solución MDM solo define TargetOSVersion
. Para dirigir una versión específica o la respuesta rápida de seguridad, la solución MDM puede usar la clave TargetBuildVersion
además de especificar la compilación, incluido el identificador de versión suplementaria.
Para obtener más información, consulta Claves del diccionario de actualizaciones de software forzadas.
Notificaciones
La clave Notifications cambia el comportamiento predeterminado de las notificaciones para mostrar solo una notificación una hora antes del plazo de imposición y de la cuenta atrás para el reinicio. Para obtener más información, consulta Clave Notifications.
Usar el identificador de arranque para ordenadores Mac con chip de Apple
Para autorizar la imposición de una actualización de software en un ordenador Mac supervisado con chip de Apple, la solución MDM puede solicitar y custodiar un identificador de arranque. Esto permite que la experiencia de actualización de software sea sencilla y evita que el usuario tenga que interactuar durante el proceso. En caso necesario, el dispositivo utiliza GetBootstrapTokenRequest
para recuperar el identificador de arranque de la solución MDM.
En el primer paso, la solución MDM determina si el dispositivo admite con un identificador de arranque que utilice el comando SecurityInfo
. Si la respuesta incluye BootstrapTokenRequiredForSoftwareUpdate
con el ajuste Verdadero, el dispositivo puede usar un identificador de arranque para autorizar una actualización de software.
Para crear un identificador de arranque, la solución MDM debe añadir com.apple.mdm.bootstraptoken
al vector ServerCapabilities
en el perfil de MDM. Para obtener más información, consulta la carga MDM en el sitio web para desarrolladores de Apple.
Cuando el dispositivo recibe el identificador de arranque, crea uno nuevo la próxima vez que un usuario con identificador seguro inicia sesión. A continuación, se comunica con el punto final de comprobación de la solución MDM y utiliza una solicitud SetBootstrapTokenRequest
para custodiar el identificador. Para obtener más información, consulta Configurar el identificador de arranque en el sitio web para desarrolladores de Apple.
Para la especificación del esquema, consulta el repositorio GitHub de gestión de dispositivos Apple.