安裝和強制執行 Apple 裝置的軟件更新
使用聲明式裝置管理,機構可以設定軟件更新程序的不同範疇。 這包括管理軟件更新適用情況,強制執行軟件更新,將裝置註冊到 Beta 版計劃等。
註冊期間需要的最低版本
從 iOS 17、iPadOS 17 和 macOS 14 開始,MDM 解決方案可以在「自動裝置註冊」期間強制執行最低作業系統版本。 如裝置不符合流動裝置管理(MDM)解決方案的最低版本要求,用户會被引導到更新,然後才能完成「設定輔助程式」。 與「自動前進」搭配使用時會自動開始相同的程序。 這樣可以確保機構擁有的裝置在投入生產之前是符合所需的作業系統版本。
管理軟件更新的適用情況
機構可能想控制其用户可以將裝置更新至甚麼版本。 例如,此控制項目可用來搭配測試群組執行更新驗證,然後允許所有用户在生產中安裝更新,或是部署不同延遲至不同群組來分階段推出最近的更新。
基於時間的延遲
在 Apple 公開發佈軟件更新後的指定時段過去前,可以防止受監管裝置向用户提供 OTA 軟件更新。 例如,有一組 iPhone 使用 iOS 17.3,且套用 30 日的延遲軟件更新設定。 在此情況中,系統會在 iOS 17.4 發行日期後 30 日在用户的受管理裝置上提供 iOS 17.4。
作為設定的一部份,機構可以指定從 1 到 90 日的自訂延遲時段。 在 iOS 和 iPadOS 上,此延遲會套用到作業系統更新和升級。 在 macOS 中,機構也可以為作業系統更新、升級和非作業系統更新指定不同的延遲時段。 非作業系統更新包括 Safari、XProtect、打印機驅動程式和 Xcode 命令列工具的更新。 例如,自訂延遲可以在 macOS 上用來延遲較軟件更新長的軟件升級。
附註:OTA 軟件更新的有效期通常會為初始發佈日期的 180 日內,以確保具有最長遞延值的受管理裝置總是可以取得更新。
iOS 和 iPadOS 上的建議頻率
除了定義基於時間的延遲外,機構可定義受監管 iPhone 和 iPad 裝置上的用户是否可選擇升級至較新的主要版本還是仍繼續使用目前版本並接收次要更新(即使升級可供使用)。
例如,在使用 iOS 17.6 的 iPhone,你可以使用以下三個選項中的其中一個:
只向用户提供補充更新至 iOS 17。
只向用户提供升級至 iOS 18。
允許用户選擇: 補充更新至 iOS 17(例如 iOS 17.7)或升級至 iOS 18。
第一個選項只在有限時間內可用,讓用户在測試完成以允許生產環境主要升級時從任何重要的保安更新中得益。
建議頻率可與延遲一同使用。 在上方範例中,其可用於讓裝置保持在 iOS 17 同時只延遲軟件更新(例如 iOS 17.7)一段已定義的時間。
自動安裝軟件更新
在 iOS 18、iPadOS 18、macOS 14 或較新版本中,機構可以在受監管的裝置上管理自動軟件更新行為。
自動軟件更新(非升級)
針對下載並準備自動軟件更新,以下設定選擇可供使用:
讓用户選擇是否開啟自動下載。
已關閉自動下載更新。
已開啟自動下載更新。
針對安裝自動軟件更新和升級,以下設定選擇可供使用:
讓用户選擇是否開啟自動安裝更新。
已關閉自動安裝更新。
已開啟自動安裝更新。
附註:此選項需要開啟自動下載。
這些選擇為機構提供更細緻的控制項目以定義最適合的自動更新軟件方式。
在 macOS 中,保安更新有包括相同的三個設定選項之額外設定(包括 XProtect、「守衛」和系統資料檔案的更新)。 如需更多資料,請參閲 Apple 支援文章:關於 macOS 的背景更新。
自動快速保安回應
「快速保安回應」不會被受管理的軟件更新延遲約束。 由於「快速保安回應」只會套用至最新的次要作業系統版本,如該更新被延遲,「快速保安回應」亦會延遲生效。
機構可以定義是否要自動套用「快速保安回應」並指定是否允許用户在套用後將其移除。
需要 macOS 上的管理員授權
機構可以更改預設行為來要求本機管理員授權安裝軟件更新。 例如,這可在與多個用户共享的裝置部署中使用來限制可以執行更新的對象。
強制執行軟件更新
即使已設定延遲或已關閉「快速保安回應」的自動安裝,機構仍可於所選時間強制執行特定軟件更新。 這有助確保受管理的裝置在特定日期和時間前執行指定版本,同時讓用户可在方便他們的時間(在強制執行日期之前)安裝更新。
強制執行的日期和時間是相對於裝置的當地時區。 這會讓相同的設定在不同的地區之間套用。 例如,如果強制執行日期設定為下午 6 點,裝置會在其當地時區指定日期的下午 6 點嘗試執行更新。
在聲明軟件更新時,用户會被告知更新期限:
在「設定」(iOS 和 iPadOS)和「系統設定」(macOS)中
在通知中
取決於強制執行期限前剩餘時間,通知會提供不同的選項(如下所述)。 如要向用户增加透明度並讓他們了解程序,可以使用「更多資料」連結提供關於更新的其他資料。
如用户並未立即開始安裝,取決於剩餘時間而顯示的通知和選項會在趨近強制執行日期時出現得越發頻繁,從而鼓勵用户在方便他們的時間安裝更新。 如要協助確保向用户顯示這些通知,「請勿打擾」功能在強制執行之前的 24 小時內會被忽略。
或者,在 iOS 18、iPadOS 18 和 macOS 15 中,機構可以設定讓通知在強制執行期限的 1 小時之前才出現並顯示重新啟動倒數。 這會減少裝置上顯示的通知數量,例如,如裝置並非直接分派給用户(如自助服務機部署)。
如要從通知或從「設定」和「系統設定」開始並授權更新,系統會提示用户輸入其密碼。
如果用户在本機強制執行日期前尚未安裝更新:
iOS 和 iPadOS 會強制用户輸入其密碼(如果已設定密碼,除非已提前輸入)。
macOS 會強制結束所有已開啟的 App(無論是否有任何已開啟且未儲存的文件)並重新開機(如有需要)
在配備 Apple 晶片的 Mac 上,Mac 會使用 Bootstrap 代碼(如有)來授權更新或 Mac 會提示用户提供其憑證
如要強制安裝更新、升級或「快速保安回應」,裝置須符合的要求與相同類型的用户啟動更新一致。
聲明式裝置管理的主要優點是裝置自主。 MDM 解決方案會聲明想要的狀態並將達成該狀態的任務委託給裝置本身,而非觸發個別動作。 此行為的特一個特定範例,是由於裝置不符合要求而錯過軟件更新強制執行日期的情況。 裝置會自動偵測到尚未達到聲明的狀態並在連接互聯網時繼續程序。
為此(如有需要),作業系統會下載並準備更新和發出另一個通知來讓用户知道安裝已過期,且會在一小時內嘗試進行安裝。 如程序因任何理由再次中斷,下次裝置開機並連接互聯網時會重複程序。
使用聲明式裝置管理中可用的狀態報告,MDM 解決方案也可以提高安裝狀態的透明度,例如正在等待、正在下載和正在準備,或者正在安裝更新。 已加入有意義的錯誤編碼,以防無法套用版本或無法完成。 有部份例子是如果裝置為離線、如電池電量過低,或者可用空間不足。
正在「共用的 iPad」上更新 iPadOS
「共用的 iPad」裝置上的軟件更新可使用「共用的 iPad」註冊的 MDM 解決方案以空中傳輸方式啟動。 如果裝置以實體方式連接,也可以使用 Mac 上的 Finder 或 Apple Configurator。
如要在「共用的 iPad」上安裝更新,用户必須登出但可在裝置上處於快取狀態。 如安裝所需空間多於目前所提供,快取的用户帳户資料必須被移除。 由於聲明式裝置管理的自主性,裝置會持續嘗試安裝新版本直至成功。
如要讓停用時間縮到最短,請編排在非工作時間更新「共用的 iPad」,以盡量減低對用户和網絡的影響。
如需更多資料,請參閲:為「共用的 iPad」更新和升級至 iPadOS。