Appleデバイスのソフトウェアアップデートをインストールする/強制する
宣言型デバイス管理を使用して、組織はソフトウェアアップデートのプロセスのさまざまな面を構成することができます。これには、ソフトウェアアップデートの利用可能状況の管理、ソフトウェアアップデートの強制、デバイスのベータプログラムへの登録などが含まれます。
登録中に最小バージョンを要求する
iOS 17、iPadOS 17、およびmacOS 14以降では、MDMソリューションは自動デバイス登録中にオペレーティングシステム最小バージョンを強制できます。デバイスがMDM(モバイルデバイス管理)ソリューションが想定する最小バージョンを満たさない場合、設定アシスタントを完了する前にアップデートを求められます。自動前進で使用した場合は、同じプロセスが自動的に実行されます。これにより、本番環境に入る前に、組織が所有するデバイスが必要なオペレーティングシステムのバージョンを備えていることが保証されます。
ソフトウェアアップデートの利用可能状況を管理する
組織はユーザがデバイスをアップデートできるバージョンを制御することをおすすめします。例えば、この制御を使用して、本番環境ですべてのユーザにアップデートのインストールを許可する前に、テストグループでアップデートの検証を実行したり、最近のアップデートのロールアウトを段階的に行うために、グループごとに異なる延期を導入したりすることができます。
時間に基づく延期
監視対象デバイスでは、OTAソフトウェアアップデートがAppleから公開後、指定した期間が過ぎるまでアップデートがユーザに提供されないようにすることができます。例えば、iOS 17.3を搭載した複数台のiPhoneがあり、延期された30日のソフトウェアアップデート構成を適用しているとします。このシナリオでは、iOS 17.4のリリース日の30日後にユーザの管理対象デバイスへiOS 17.4が提供されます。
構成の一部として、組織は1日から90日の間でカスタムの延期期間を指定できます。iOSおよびiPadOSでは、この延期はオペレーティングシステムのアップデートとアップグレードの両方に適用されます。macOSでは、オペレーティングシステムのアップデート、アップグレード、およびオペレーティングシステム以外のアップデートに対して、異なる延期期間を指定することもできます。オペレーティングシステム以外のアップデートには、Safari、XProtect、プリンタドライバ、Xcodeコマンドラインツールのアップデートがあります。例えば、macOSのカスタムの延期を使用して、ソフトウェアアップグレードをソフトウェアアップデートよりも長く延期することができます。
注記: OTAでのソフトウェアアップデートは通常、アップデートが当初のリリース日から最長で180日間利用可能になります。これは、延期の値が最大に設定された管理対象デバイスでも常にアップデートを利用できるようにするためです。
iOSおよびiPadOSで推奨されるケイデンス
組織は時間に基づく延期を定義するだけでなく、監視対象iPhoneおよびiPadデバイスのユーザが、アップグレードが利用可能になったあとでも、より新しいメジャーバージョンにアップグレードすることと、現在のバージョンを使い続けてそのままマイナーアップデートを受け取ることの間で選択できるようにするかどうかを定義できます。
例えば、iOS 17.6を搭載したiPhoneでは、3つのオプションのいずれかを使用できます:
ユーザにiOS 17への追加アップデートのみを提供する。
ユーザにiOS 18へのアップグレードのみを提供する。
ユーザに選択を許可する: iOS 17への追加アップデート(iOS 17.7など)またはiOS 18へのアップグレード。
1番目のオプションは限られた期間のみ使用でき、これによって、管理者がメジャーアップグレードを組織の本番環境のために承認するテストを行っている間も、ユーザは重要なセキュリティアップデートの恩恵を受けることができます。
延期と共に、推奨されるケイデンスを使用できます。上の例では、定義した期間でソフトウェアアップデート(iOS 17.7など)のみを延期して、デバイスをiOS 17に保つために使用できます。
ソフトウェアアップデートを自動的にインストールする
iOS 18以降、iPadOS 18以降、macOS 14以降では、組織は監視対象デバイスの自動ソフトウェアアップデート動作を管理できます。
自動ソフトウェアアップデート(アップグレードではない)
自動ソフトウェアアップデートのダウンロードと準備では、以下の構成の選択肢から選択できます:
自動ダウンロードをオンにするかどうかをユーザが選択できるようにする。
自動アップデートダウンロードはオフである。
自動アップデートダウンロードはオンである。
ソフトウェアの自動アップデートおよびアップグレードのインストールでは、以下の構成の選択肢から選択できます:
アップデートの自動インストールをオンにするかどうかをユーザが選択できるようにする。
自動アップデートインストールがオフである。
自動アップデートインストールはオンである。
注記: このオプションでは、自動ダウンロードをオンにする必要があります。
これらの選択肢により、組織は自動ソフトウェアアップデートの最適なアプローチをきめ細かく制御できます。
macOSでは、セキュリティアップデート(XProtect、Gatekeeper、およびシステムデータファイルのアップデートが含まれます)用の3つの同じ構成オプションからなる追加設定があります。詳しくは、Appleのサポート記事「macOSのバックグラウンドアップデートについて」を参照してください。
自動緊急セキュリティ対応
緊急セキュリティ対応は、管理対象ソフトウェアのアップデート延期には従いません。最新のマイナーオペレーティングシステムバージョンにのみ適用されるため、そのアップデートが延期されると、緊急セキュリティ対応も事実上延期されます。
組織は、緊急セキュリティ対応が自動的に適用されるかどうかを定義したり、適用後にユーザが削除できるかどうかを指定したりできます。
macOSで管理者の承認を要求する
組織はデフォルトの動作を変更して、ソフトウェアアップデートのインストールがローカル管理者による認証を必要とするようにできます。これは例えば、1台のデバイスが複数のユーザと共有される導入において、アップデートを実行できる人を制限するのに使用できます。
ソフトウェアアップデートを強制する
組織は、構成された延期にかかわらず、また緊急セキュリティ対応の自動インストールがオフになっている場合でも、特定のソフトウェアアップデートを選択したタイミングで強制することができます。これにより、管理対象デバイスが特定の日時までに指定されたバージョンを搭載していることを保証すると同時に、ユーザが(強制日前の)都合の良いときにアップデートをインストールできるようになります。
強制の日時はデバイスのローカルの時間帯に基づいています。これによって、同じ構成を異なる地域にわたって適用することができます。例えば、強制日が午後6時に設定されている場合、デバイスはローカルの時間帯で指定された日の午後6時にアップデートを試みます。
ソフトウェアアップデートが宣言されると、ユーザにはその期限が以下の場所で通知されます:
「設定」(iOSおよびiPadOS)および「システム設定」(macOS)
通知
強制の期限までの残り時間に応じて、通知には異なるオプションが表示されます(後述します)。ユーザへの透明性を高め、プロセスに関する情報を提供し続けるために、「詳細情報」リンクを使用してアップデートに関する追加情報を提供することができます。
ユーザがすぐにインストールを開始しない場合、残り時間に応じて表示される通知やオプションは強制日が近づくにつれてより頻繁になり、ユーザの都合の良いときにアップデートをインストールするよう促します。これらの通知が確実にユーザに表示されるように、強制の24時間前からはおやすみモード機能が無視されます。
また、iOS 18、iPadOS 18、およびmacOS 15では、組織は、強制期限の1時間前にのみ表示される通知と再起動カウントダウンを表示する通知を設定できます。これにより、通知がユーザに直接割り当てられない場合(キオスク導入など)などでは、デバイスに表示される通知の量が減ります。
アップデートを通知からまたは設定やシステム設定から開始して認証するために、ユーザはパスコードまたはパスワードを求められます。
ユーザが現地時間の強制日までにアップデートをインストールしなかった場合は、次のようになります:
パスコードが設定されている場合は、iOSおよびiPadOSはユーザにパスコード入力を強制します(まだ入力されていない場合)
macOSが(開いている書類や保存していない書類があるかどうかにかかわらず)開いているすべてのアプリを強制的に終了し、必要に応じて再起動します
Appleシリコンを搭載したMacでは、Macが(使用可能な場合は)ブートストラップトークンを使用してアップデートを認証するか、Macがユーザに資格情報を求めます
アップデート、アップグレード、または緊急セキュリティ対応のインストールを強制するには、ユーザが開始した同じタイプのアップデートと同じ要件をデバイスが満たす必要があります。
宣言型デバイス管理の主要な利点はデバイスの自律性です。MDMソリューションは、個々のアクションをトリガするのではなく、望ましい状態を宣言し、その状態を達成するためのタスクをデバイス自体に委任します。この動作の具体例は、デバイスが要件を満たさないためにソフトウェアアップデートの強制日が過ぎた場合です。デバイスは宣言された状態がまだ達成されていないことを自動的に検出し、インターネットに接続されたときにプロセスを再開します。
そのため、必要に応じて、オペレーティングシステムはアップデートをダウンロードして準備し、インストールの期限が過ぎていることをユーザに知らせる別の通知を投稿し、1時間以内にインストールが試行されます。プロセスが何らかの理由で再度中断された場合、次回デバイスの電源が入っていてインターネットに接続されているときにプロセスがもう一度実行されます。
MDMソリューションは、宣言型デバイス管理で利用可能なステータスレポートを使用して、インストールのステータスに関する透過性を高めることもできます。例えば、アップデートの待機中、ダウンロード中および準備中、インストール中などです。リリースを適用できなかった場合または正常に完了できなかった場合は、意味のあるエラーコードが追加されています。例えば、デバイスがオフラインだった場合、バッテリー残量が少なすぎた場合、空き領域が不足していた場合などです。
共有iPadでiPadOSをアップデート中
共有iPadデバイスのソフトウェアアップデートは、共有iPadが登録されているMDMソリューションを使用してOTA(Over The Air)で開始できます。デバイスが物理的に接続されている場合は、MacのFinderまたはApple Configuratorも使用できます。
共有iPadにアップデートをインストールするには、ユーザはサインアウトしている必要がありますが、デバイスでキャッシュされたままでもかまいません。インストールに必要な空き容量が現在使用可能な空き容量よりも多い場合、キャッシュされたユーザアカウントデータは削除する必要があります。宣言型デバイス管理の自律性のため、デバイスは新しいリリースのインストールが成功するまで再試行を続けます。
ダウンタイムを最小化するために、共有iPadのアップデートは時間外に行うようにスケジュールして、ユーザおよびネットワークへの影響を最小限にすることをおすすめします。
詳しくは、共有iPad用のiPadOSのアップデートとアップグレードを参照してください。