使用 MDM 來部署軟體更新到 Apple 裝置
管理軟體更新和升級包含測試預先發佈版的軟體更新和升級,部署兩者到使用者的裝置,以及強制執行授權使用者將裝置保持在最新狀態的規則。如需更多資訊,請參閱 WWDC21 影片:管理組織中的軟體更新和 WWDC23 影片:探索宣告式裝置管理中的進階內容。
MDM 軟體更新和升級指令
MDM 軟體更新和升級指令列出於此。這些指令不允許自訂的使用者對應通知。
【注意】在 macOS 13 或以上版本中,即使裝置進入睡眠或處於「高效小睡」模式,Mac 仍會認知並回應 ScheduleOSUpdateScan
、ScheduleOSUpdate
、OSUpdateStatus
和 AvailableOSUpdate
指令。
指令 | 支援的作業系統 | 受監管 | 說明 | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
排程更新掃描 | macOS | 是 | 要求裝置執行作業系統更新的背景掃描。 如需更多資訊,請參閱 Apple 開發者網站上的排程 OS 更新掃描。 | ||||||||
列出可用的更新項目 | iOS iPadOS macOS tvOS | 是(iOS、iPadOS、tvOS) 否(macOS) | 查詢裝置以取得可用作業系統更新的列表。在 macOS 中,必須執行 如需更多資訊,請參閱 Apple 開發者網站上的列出可用的 OS 更新項目。 | ||||||||
排程更新 | iOS iPadOS macOS tvOS | 是 | 允許伺服器排程作業系統更新和設定更新的優先順序。 如需更多資訊,請參閱 Apple 開發者網站上的排程 OS 更新。 | ||||||||
更新狀態 | iOS iPadOS macOS tvOS | 是 | 查詢裝置以取得軟體更新的狀態。 如需更多資訊,請參閱 Apple 開發者網站上的取得 OS 更新狀態。 |
Apple 軟體查詢服務
你可以使用「Apple 軟體查詢服務」來取得可用更新的列表。
iOS 15、iPadOS 15 和 macOS 12.0.1 或以上版本允許 MDM 解決方案在更新一發佈時便及時且正確地計算更新是否適用。MDM 解決方案會檢視服務以取得可用更新的精確列表,然後在傳送 ScheduleOSUpdate
指令時指定特定的版本。裝置不需要執行 AvailableOSUpdate
指令來查詢要排程更新的可用更新。
JSON 回應會包含可用軟體發佈的三個列表:
PublicAssetSets:此列表包含一般大眾(非受監管裝置)嘗試更新或升級時適用的最新發佈。
AssetSets:此列表(PublicAssetSets 的子集)包含可供 MDM 解決方案推播到受監管裝置的所有發佈。
PublicRapidSecurityResponses:此列表包含目前適用於 Apple 裝置的「快速安全回應」發佈。如需更多「快速安全回應」發佈的相關資訊,請參閱:快速安全回應。
列表中的每個元件皆包含作業系統的版本號碼、發佈日、到期日和該發佈的支援裝置列表。裝置列表會符合來自初次「認證」要求或 DeviceInformation
回應中所傳回之裝置中的 ProductName
值。
到期日通常設為發佈日期後的 180 天。當後續版本發佈,之前的版本可能會更新其到期日。若未提供到期日,則該版本尚未到期。到期日在過去的版本便已到期。
內容會由作業系統平台分類。目前所有內容皆在 iOS 之下,包含 tvOS 和 watchOS。使用產品版本列表來判斷哪些版本高於裝置的目前作業系統版本。提供版本列表給管理者作為潛在的作業系統更新候選項目。
這些是範例回應:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
軟體發佈日期
下表顯示發佈日期,可對使用者顯示的日期(90 天延遲),以及無法再從 Apple 下載的日期。
macOS | iOS、iPadOS、tvOS | 可從 Apple 取得 | 由 MDM 隱藏直到 | 無法再從 Apple 取得下載項目 |
---|---|---|---|---|
17 | 2023 年 9 月 18 日 | 2023 年 12 月 17 日 | 2023 年 12 月 17 日 | |
13.6 | 17.0.1 (iOS、iPadOS) | 2023 年 9 月 21 日 | 2023 年 12 月 20 日 | 2023 年 12 月 20 日 |
17.0.2 iPhone 15(所有機型) | 2023 年 9 月 21 日 | 2023 年 12 月 20 日 | 2023 年 12 月 20 日 | |
14 | 17.0.2 (iOS、iPadOS) | 2023 年 9 月 26 日 | 2023 年 12 月 25 日 | 2023 年 12 月 25 日 |
17.0.2 (iOS、iPadOS) | 2023 年 10 月 4 日 | 2024 年 1 月 2 日 | 2024 年 1 月 2 日 | |
14.1 | 17.1 | 2023 年 10 月 25 日 | 2024 年 1 月 23 日 | 2024 年 1 月 23 日 |
14.1.1 | 17.1.1 | 2023 年 11 月 7 日 | 2024 年 2 月 11 日 | 2024 年 2 月 11 日 |
14.1.2 | 17.1.2 (iOS、iPadOS) | 2023 年 11 月 30 日 | 2024 年 2 月 28 日 | 2024 年 2 月 28 日 |
14.2 | 17.2 | 2023 年 12 月 11 日 | 2024 年 3 月 10 日 | 2024 年 3 月 10 日 |
14.2.1 | 17.2.1 (iOS、iPadOS) | 2023 年 12 月 19 日 | 2024 年 3 月 18 日 | 2024 年 3 月 18 日 |
14.3 | 17.3 | 2024 年 1 月 22 日 | 2024 年 4 月 21 日 | 2024 年 4 月 21 日 |
14.3.1 | 17.3.1 (iOS、iPadOS) | 2024 年 2 月 8 日 | 2024 年 5 月 8 日 | 2024 年 5 月 8 日 |
17.4 (iOS、iPadOS) | 2024 年 3 月 5 日 | 2024 年 6 月 3 日 | 2024 年 6 月 3 日 | |
14.4 | 17.4 (tvOS) | 2024 年 3 月 7 日 | 2024 年 6 月 5 日 | 2024 年 6 月 5 日 |
14.5 | 17.5 | 2024 年 5 月 13 日 | 2024 年 8 月 11 日 | 2024 年 8 月 11 日 |
安裝軟體更新和升級
若要協助確保只有 Apple 簽署的代碼可進行安裝,Apple 軟體更新和升級程序會使用與安全開機所用相同的硬體式信任根。Apple 系統軟體授權程序會確保只有經 Apple 主動簽署的作業系統版本合格拷貝才可安裝在 iPhone、iPad 和「開機安全性工具程式」中安全開機規則設定為「完整安全性」的 Mac 上。此程序允許 Apple 停止簽署包含已知漏洞的較舊作業系統版本,因此可協助防止降級的攻擊。
【注意】在 macOS 12.0.1 或以上版本中所有安裝動作都支援使用 Bootstrap 代號在配備 Apple 晶片的 Mac 電腦上進行認證。
更新和升級的安裝動作包含如下:
動作 | 支援的最低作業系統 | 說明 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | 在 iOS、iPadOS 和 tvOS 中,安裝之前下載的軟體更新或升級。 在 macOS 中,下載軟體更新或升級並觸發重新啟動倒數通知。 | |||||||||
預設 | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | 視目前的狀態來下載或安裝更新或升級。MDM 管理者可以查看 | |||||||||
InstallForce 重新開機 | macOS 11 | 執行預設動作,然後在更新要求時強制重新啟動。升級會一律要求重新啟動。 【重要事項】 | |||||||||
InstallLater | macOS 10.11 | 下載軟體更新或升級並於稍後安裝。 | |||||||||
NotifyOnly | macOS 10.11 | 下載軟體更新或升級並通知使用者。 | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 tvOS 12 | 下載軟體更新或升級而不安裝。 |
管理 iOS 和 iPadOS 軟體更新和升級
在 iOS 和 iPadOS 中,更新和升級會作為標準通知程序的一部分並在「設定」App 中提供給使用者。若要啟動更新或升級,使用者可能需要同意更新的條款與約定。如果裝置上沒有密碼,你可以使用 MDM 解決方案來完成遠端安裝。
如果裝置包含密碼,在 MDM 將更新或升級傳送到裝置後,裝置會將更新或升級排入佇列,而使用者會收到輸入密碼的提示以立即開始安裝或延遲至隔天安裝。
在你傳送安裝軟體更新指令時,裝置會提示使用者更新或升級並說明其為組織所要求。由 MDM 傳送的所有更新或升級會被視為必要而且只能由使用者延遲最多三次。使用者延遲三次後,裝置會要求使用者排程當晚更新或升級才能繼續使用裝置(除了撥打緊急電話以外)。
建議的步調
你可以升級到 iOS 17 或 iPadOS 17(新的主要作業系統)。或是你可以繼續更新到較新的次要版本 iOS 16 和 iPadOS 16.1,即使 iOS 16 和 iPadOS 16.1 已發佈。
例如,在使用 iOS 16.6.1 的 iPhone 上,你可以選擇兩個選項中的一個:
繼續允許使用者沿用 iOS 16.6.1(之前的主要作業系統)並仍取得更新(例如 iOS 16.7)。
允許使用者升級到iOS 17(新的主要作業系統)。
這會讓使用者在你對你環境中的產品最新主要版本進行核准時仍可受益於重要安全性更新。
MDM 廠商可以替在 MDM 中註冊的裝置管理此功能。具備 SoftwareUpdateSettings
辭典的新 Settings
指令包含帶有三個值的密鑰(RecommendationCadence
):
0:同時顯示兩個選項(預設值)。
1:在可用時顯示包含較低版本號碼的軟體更新。
2:顯示包含後續主要版本號碼之作業系統升級的更新路徑。
此選擇可使用 MDM 強制執行,讓你繼續使用之前的更新(例如 iOS 16.7)。這在升級後會提供一段時間。
更新和升級「共享的 iPad」
若要將停用時間減到最少,iPadOS 和 App 的更新和升級應該在離峰時段進行,以便將對使用者和網路的影響降到最低。如需更多資訊,請參閱「共享的 iPad」的更新和升級到 iPadOS。
使用行動數據的更新和升級
MDM 在軟體更新自動顯示於「設定」後可以使用行動數據連線安裝更新和升級。
管理 macOS 軟體更新和升級
macOS 11 引進許多變更來讓更新和升級程序與 iOS 和 iPadOS 的軟體更新相似。更新和升級時,更新程式甚至會在重新啟動前便更改作業系統。此方式可在程序期間顯著減少 Mac 的停用時間。後續版本的 macOS 加入了更多強化功能。其他強化功能列於下表。
【注意】在 Apple 晶片式機型上,使用者必須是卷宗擁有者才能執行軟體升級。
最低作業系統版本 | 強化功能 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | 管理者可以控制下載和準備所要求之更新的排程優先順序。將 升級到 macOS 13 或以上版本可從下列強化功能中獲益:
| ||||||||||
macOS 13 | 即使裝置進入睡眠或處於「高效小睡」模式,Mac 仍會認知並回應 |
設定描述檔可在 Mac 電腦上安裝來啟用下列自動選項:
macOS 軟體更新和升級的背景檢查
XProtect 和「門禁」更新項目的下載和安裝
自動安全性更新項目的下載和安裝
下載 macOS 軟體更新和升級
安裝 macOS 更新和升級
Mac 約每 6 小時會檢查更新和升級,而且即使 Mac 筆電已關閉上蓋,在 Mac 符合更新條件:例如執行中的程序有限且裝置已連接電源或具備最低電池百分比(列於下方)時,便會將更新或升級排程進行自動安裝。在下載完並準備好更新或升級後,才會有通知提示使用者進行安裝。
強制執行軟體更新或升級
若要提供組遮的管理者更多對於更新程序的控制,請使用宣告式裝置管理。此程序會給予使用者更多資訊體驗,而且也會確保 iOS、iPadOS 和 macOS 的更新以適時的方式進行。強制執行的作業系統版本會在 TargetOSVersion
密鑰中顯示。選用的 TargetBuildVersion
密鑰會將特定種子建置版本作為標準或「快速安全回應」。
宣告軟體更新時,使用者會在通知中得知軟體更新的期限。使用者也會在「設定」(iOS 和 iPadOS)中和「系統設定」(macOS)中得知。你可以在「更多資訊」連結中提供更多關於更新的資訊。
通知會提供選項來在當下安裝或當晚稍後安裝。若使用者並未立即觸發更新,則作業系統會每天發布「有可用的更新項目」通知直到期限;在期限的 24 小時之前,此通知會每小時顯示並忽略「勿擾模式」。在期限的一小時之前,通知會每 30 分鐘顯示,然後每 10 分鐘顯示。這可讓使用者選取最合適的時間來執行更新。
假如使用者在本機強制執行日期前尚未安裝更新:
iOS 和 iPadOS 會強制使用者在已設定密碼時輸入其密碼(除非之前已提供)。
macOS 會強制結束打開的 App 並視需要執行重新啟動。
若因裝置關機或離線而錯過期限,當裝置重新上線,作業系統會發布另一則通知,告訴使用者更新已過期,而且更新會在下一個小時內嘗試進行。
使用宣告式狀態報告,MDM 解決方案也可以在更新的狀態上更加透明,例如等待、下載和準備,或安裝更新。系統已加入有意義的錯誤代碼,以防萬一更新無法執行或無法完成。部分範例為若裝置離線,若電池電量過低,或是若沒有足夠的可用空間。
【注意】軟體更新宣告和 MDM 指令及描述檔可以共存;然而,由宣告強制執行的軟體更新會一律優先於 MDM 指令和描述檔。
強制 macOS 軟體更新或升級
若要強制 App 結束軟體更新或升級,請使用 InstallForceRestart
動作。即使文件尚未儲存,在 Mac 上的所有 App 都會結束。更新或升級會需要 Mac 連接電源或具備最低電池百分比。