Installieren und Durchsetzen von Softwareupdates für Apple-Geräte
Mit der Verwendung der deklarativen Geräteverwaltung können Organisationen verschiedene Aspekte des Softwareupdatevorgangs konfigurieren. Dies umfasst die Verwaltung von verfügbaren Softwareupdates, Durchsetzung von Softwareupdates, die Registrierung von Geräten bei Beta-Programmen und mehr.
Voraussetzen einer Mindestversion während der Registrierung
Seit iOS 17, iPadOS 17 und macOS 14 können MDM-Lösungen eine Mindestversion für das Betriebssystem während der automatischen Geräteregistrierung durchsetzen. Wenn das Gerät nicht über die von der MDM-Lösung (Mobile Device Management) erwarteten Mindestversion verfügt, werden Benutzer:innen durch ein Update geführt, bevor der Systemassistent abgeschlossen werden kann. Der gleiche Prozess geschieht automatisch, wenn der Vorgang mit der Option „Automatisch fortfahren“ durchgeführt wird. Dadurch ist sichergestellt, dass organisationseigene Geräte vor der Inbetriebnahme über die nötige Betriebssystemversion verfügen.
Verwalten der Verfügbarkeit von Softwareupdates
Unter Umständen möchten Organisationen steuern, auf welche Versionen die Benutzer:innen ihre Geräte aktualisieren können. Diese Steuerung kann beispielsweise verwendet werden, um Verifizierungen eines Updates mit einer Testgruppe durchzuführen, bevor alle Benutzer:innen Zugang zur Produktionsversion haben, oder um verschiedene Verzögerungen bei einzelnen Gruppen anzuwenden, damit neue Updates erst nach und nach eingeführt werden.
Zeitbasierte Verzögerungen
Betreute Geräte können daran gehindert werden, Benutzer:innen drahtlose Softwareupdates anzubieten, bis ein bestimmter Zeitraum verstrichen ist, nachdem Apple dieses Update für die Öffentlichkeit verfügbar gemacht hat. Angenommen, mehrere iPhone-Geräte verwenden iOS 17.3 und es wurde festgelegt, dass eine Softwareupdatekonfiguration für 30 Tage aufgeschoben wird. In diesem Szenario wird Benutzer:innen iOS 17.4 auf ihren verwalteten Geräten 30 Tage nach dem Veröffentlichungsdatum von iOS 17.4 angeboten.
Als Teil der Konfiguration können Organisationen eine eigene Verzögerungsdauer zwischen 1 und 90 Tagen festlegen. In iOS und iPadOS wird die Verzögerung sowohl auf Betriebssytemupdates als auch auf Betriebssystemupgrades angewendet. In macOS können sie für Betriebssystemupdates und -upgrades sowie Updates, die nicht das Betriebssystem betreffen, unterschiedliche Verzögerungsdauern festlegen. Updates, die nicht das Betriebssystem betreffen, sind unter anderem Updates für Safari, Druckertreiber und Xcode-Befehlszeilenprogramme. In macOS kann beispielsweise eine eigens festgelegte Verzögerung verwendet werden, um ein Softwareupgrade länger als ein Softwareupdate zu vertagen.
Hinweis: Drahtlose Softwareupdates stehen üblicherweise für 180 Tage nach ihrem ursprünglichen Veröffentlichungsdatum zu Verfügung, um sicherzustellen, dass ein Update für verwaltete Geräte mit dem höchsten Verzögerungswert immer verfügbar ist.
Ein Konfigurationsprofil kann für jede der hier aufgelisteten Payload-Einstellungen erstellt werden.
Mindestens unterstützte Betriebssysteme | Schlüssel und Wert (falls vorhanden) | Beschreibung | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 (oder neuer) iPadOS 11.3 (oder neuer) macOS 10.13.4 (oder neuer) tvOS 12.2 (oder neuer) |
| Standard ist „false“. Bei Auswahl von „true“:
Hinweis: Dies trifft nicht auf macOS Seed Builds zu. | |||||||||
macOS 11.3 (oder neuer) |
| Standard ist „false“. Die Benutzersichtbarkeit von Softwareupdates verzögert sich um 30 Tage, es sei denn, ein anderer Verzögerungswert ist für | |||||||||
macOS 11.3 (oder neuer) |
| Standard ist „false“. Ist der Wert auf „true“ gesetzt, verzögert sich die Benutzersichtbarkeit von App-Updates um 30 Tage, es sei denn, für | |||||||||
iOS 11.3 (oder neuer) iPadOS 11.3 (oder neuer) macOS 10.13.4 (oder neuer) tvOS 12.2 (oder neuer) |
1-90 | Erlaubt es dem MDM-Administrator festzulegen, um wie viele Tage ein Softwareupdate verzögert ist. Erforderlich bei Verwendung von Wenn ein Wert festgelegt ist, erfolgt die Benutzersichtbarkeit von Softwareupdates erst nach einer bestimmten Verzögerung (entsprechend dem Datum, an dem die Software im Lookup-Dienst der Apple-Software veröffentlicht wurde). Dieser Wert steuert die Verzögerung für
Hinweis: Vor macOS 11.3 hat dieser Wert die Verzögerung sowohl für | |||||||||
macOS 11.3 (oder neuer) |
1-90 | Erlaubt es dem MDM-Administrator festzulegen, um wie viele Tage ein Softwareupdate verzögert ist. Der Maximalwert beträgt 90 Tage, der Standardwert 30 Tage. Wenn ein Wert festgelegt ist, erfolgt die Benutzersichtbarkeit von Softwareupgrades nur nach einer bestimmten Verzögerung (entsprechend des Datums, an dem die Software im Lookup-Dienst der Apple-Software veröffentlicht wurde). Dieser Wert steuert die Verzögerung für | |||||||||
macOS 11.3 (oder neuer) |
1-90 | Erlaubt es dem MDM-Administrator festzulegen, um wie viele Tage ein Softwareupdate verzögert ist. Der Maximalwert beträgt 90 Tage, der Standardwert 30 Tage. Wenn ein Wert festgelegt ist, erfolgt die Benutzersichtbarkeit von Softwareupdates nur nach einer bestimmten Verzögerung (entsprechend dem Zeitpunkt, an dem die Software im Lookup-Dienst der Apple-Software veröffentlicht wurde). Dieser Wert steuert die Verzögerung für | |||||||||
macOS 11.3 (oder neuer) |
1-90 | Erlaubt es dem MDM-Administrator festzulegen, um wie viele Tage ein Softwareupdate verzögert ist. Der Maximalwert beträgt 90 Tage, der Standardwert 30 Tage. Wenn ein Wert festgelegt ist, erfolgt die Benutzersichtbarkeit von App-Updates nur nach einer bestimmten Verzögerung (entsprechend des Datums, an dem die Software im Lookup-Dienst der Apple-Software veröffentlicht wurde). Dieser Wert kontrolliert die Verzögerung für |
Empfohlene Kadenz für iOS und iPadOS
Abgesehen von der Festlegung zeitbasierter Verzögerungen können Organisationen außerdem definieren, ob Benutzer:innen von betreuten iPhones oder iPads die Option erhalten, auf eine neuere Hauptversion zu aktualisieren, oder die aktuelle Version weiter verwenden und zusätzlich kleinere Updates erhalten, auch nachdem ein Upgrade verfügbar ist.
Für ein iPhone mit iOS 16.6.1 kann eine der folgenden drei Optionen verwendet werden:
Benutzer:innen nur zusätzliche Updates für iOS 16 anbieten
Benutzer:innen nur das Upgrade auf iOS 17 anbieten
Benutzer:innen die Auswahl erlauben: zusätzliche Updates für iOS 16 (z. B. iOS 16.7) oder ein Upgrade auf iOS 17.
Die erste Option ist nur für einen bestimmten Zeitraum verfügbar und erlaubt Benutzer:innen von sämtlichen wichtigen Sicherheitsupdates zu profitieren, während der Testvorgang für die Hauptversion für eine Produktionsumgebung abgeschlossen wird.
In Verbindung mit Verzögerungen kann auch eine empfohlene Kadenz verwendet werden. Im oben genannten Beispiel könnte diese dazu verwendet werden, Geräte auf dem Stand von iOS 16 zu halten, während Softwareupdates (wie etwa iOS 16.7) nur für eine festlegte Zeitdauer aufgeschoben werden.
Anfordern einer Autorisierung durch eine:n Admin in macOS
Organisationen können das Standardverhalten ändern, sodass eine Autorisierung von lokalen Admins erforderlich ist, um ein Softwareupdate zu installieren. Dies kann zum Beispiel bei Einsatzmodellen verwendet werden, bei denen ein Gerät zwischen mehreren Benutzer:innen geteilt wird, um zu beschränken, wer ein Update durchführen kann.
Erzwingen von Softwareupdates
Organisationen können bestimmte Softwareupdates zu einer festgelegten Uhrzeit erzwingen, unabhängig davon, ob Verzögerungen konfiguriert wurden oder die automatische Installation von schnellen Sicherheitsmaßnahmen deaktiviert wurde. Dies stellt sicher, dass verwaltete Geräte ab einem bestimmten Datum und einer bestimmten Uhrzeit eine festgelegte Version verwenden, während den Benutzer:innen aber selbst überlassen bleibt, wann genau sie das Update durchführen wollen (bereits vor dem Durchsetzungsdatum).
Das Datum und die Uhrzeit der Durchsetzung entsprechen der lokalen Zeitzone des Geräts. Dies sorgt dafür, dass die gleiche Konfiguration in verschiedenen Regionen angewendet werden kann. Ist das Durchsetzungsdatum beispielsweise für 18 Uhr angesetzt, versucht das Gerät, um diese Uhrzeit am festgelegten Datum in seiner örtlichen Zeitzone das Update durchzuführen.
Wenn ein Softwareupdate angekündigt ist, werden Benutzer:innen über die dafür geltende Frist informiert:
In den Einstellungen (iOS und iPadOS) und den Systemeinstellungen (macOS)
In einer Mitteilung
Abhängig von der verbliebenen Zeit vor dem Durchsetzungstermin enthält die Mitteilung verschiedene Optionen, die im Folgenden beschrieben werden. Zusätzliche Informationen zum Update können unter dem Link „Weitere Informationen“ eingesehen werden, um gegenüber den Benutzer:innen transparent zu sein und sie über den Prozess auf dem Laufenden zu halten.
Beginnen Benutzer:innen nicht direkt mit der Installation, werden die eingeblendeten Mitteilungen und Optionen abhängig von der verbliebenen Zeit vor dem Durchsetzungsdatum immer häufiger angezeigt. Das soll Benutzer:innen dazu anregen, das Update dann zu installieren, wenn es für sie zeitlich am besten passt. Um sicherzustellen, dass diese Mitteilungen Benutzer:innen angezeigt werden, wird die Funktion „Nicht stören“ für 24 Stunden vor dem Zeitpunkt der Durchsetzung ignoriert.
Um ein Update in einer Mitteilung oder über die Einstellungen und Systemeinstellungen zu initiieren und zu autorisieren, fordert das System die Benutzer:innen dazu auf, den Code und das Passwort einzugeben.
Wenn Benutzer das Update nicht vor dem lokalen Durchsetzungsdatum installiert haben:
iOS und iPadOS zwingen Benutzer:innen, den Code einzugeben, sofern ein Code festgelegt ist (und er nicht bereits eingegeben wurde).
macOS erzwingt das Beenden aller geöffneten Apps (unabhängig davon, ob Dokumente geöffnet und nicht gesichert sind) und führt bei Bedarf einen Neustart aus.
Auf einem Mac mit Apple Chips verwendet der Mac ein Bootstrap Token, sofern eines verfügbar ist, um das Update zu autorisieren, oder der Mac fordert Benutzer:innen dazu auf, die Anmeldedaten einzugeben.
Um ein Update, ein Upgrade oder eine schnelle Sicherheitsmaßnahme zu erzwingen, muss ein Gerät dieselben Bedingungen erfüllen wie ein Update der gleichen Art, das von Benutzer:innen initiiert wurde.
Ein klarer Vorteil der deklarativen Geräteverwaltung ist die Autonomie der Geräte. Die MDM-Lösung deklariert den gewünschten Zustand und delegiert die Aufgabe an das Gerät selbst, um diesen Zustand zu erreichen, anstatt individuelle Aktionen auszulösen. Ein spezifisches Beispiel für ein solches Verhalten ist die Situation, in der das Durchsetzungsdatum für das Softwareupdate verpasst wurde, weil das Gerät nicht den Anforderungen entsprochen hat. Das Gerät erkennt automatisch, dass der deklarative Status noch nicht erreicht wurde und fährt erst mit dem Prozess fort, wenn es mit dem Internet verbunden ist.
Hierzu lädt das Betriebssystem, wenn nötig, das Update, bereitet es vor und zeigt eine weitere Mitteilung hinsichtlich der überfälligen Installation des Updates an. Darüber hinaus wird innerhalb der nächsten Stunde versucht, das Update zu installieren. Falls der Vorgang erneut aus irgendeinem Grund unterbrochen wird, wird der Vorgang wiederholt, wenn das Gerät zum nächsten Mal eingeschaltet und mit dem Internet verbunden wird.
Durch die deklarative Geräteverwaltung verfügbare Statusberichte können MDM-Lösungen höhere Transparenz über den Status einer Installation erhalten, beispielsweise, ob es wartet, geladen und vorbereitet oder installiert wird. Aussagekräftige Fehlercodes wurden hinzugefügt, falls eine Version nicht angewendet oder nicht erfolgreich abgeschlossen werden konnte. Hierzu gehören beispielsweise Fälle, in denen das Gerät offline, die Batterieladung zu gering oder nicht genügend Speicherplatz verfügbar war.
Aktualisieren von iPadOS auf einem geteilten iPad
Softwareupdates auf geteilten iPad-Geräten können nur drahtlos von der MDM-Lösung initiiert werden, in der das geteilte iPad registriert ist. Falls das Gerät physisch verbunden ist, kann auf einem Mac auch der Finder oder der Apple Configurator verwendet werden.
Benutzer:innen müssen abgemeldet sein, dürfen aber im Cache verbleiben, damit ein Update auf einem geteilten iPad installiert werden kann. Falls die Installation mehr Speicherplatz benötigt, als aktuell verfügbar ist, müssen im Cache zwischengespeicherte Benutzeraccountdaten entfernt werden. Aufgrund der Autonomie der deklarativen Geräteverwaltung versucht ein Gerät so lange ein neues Release zu installieren, bis es erfolgreich ist.
Um Unterbrechungen und Auswirkungen auf Benutzer:innen und das Netzwerk zu minimieren, sollten Updates für ein geteiltes iPad für Nebenzeiten geplant werden.
Weitere findest du unter Updates und Upgrades für iPadOS auf geteilten iPads.
Benutzern ermöglichen, macOS-Softwareupdates oder -upgrades vorübergehend zu verzögern
Für mehr Kontrolle kannst du in macOS 12.3 (oder neuer) ein bestimmtes Softwareupdate oder -upgrade erzwingen und Benutzern gleichzeitig die Möglichkeit geben, es eine bestimmte Anzahl von Malen zu verzögern. Bei MDM-Lösungen, die diese Funktion unterstützen, kann diese Anzahl mit dem Befehl InstallLater
festgelegt werden, in dem sie mit dem Schlüssel MaxUserDeferrals
festgelegt wird.
Die Installationsbenachrichtigung wird alle 24 Stunden einmal angezeigt. Die Verzögerung findet statt, wenn Benutzer das Mitteilungsfenster schließen. Die Benutzer haben nach dem Klicken auf die Benachrichtigung folgende Optionen für das Update oder Upgrade:
Jetzt installieren: Das Update oder Upgrade wird geladen und umgehend installiert.
Heute Nacht versuchen: Das Update oder Upgrade wird geladen und zu einem späteren Zeitpunkt installiert.
Bei dieser Option ermittelt der Mac mithilfe von maschinellem Lernen anhand der Daten der letzten 21 Tage den besten Zeitpunkt für den Download und die Installation des Updates oder Upgrades ungefähr zwischen 2:00 und 4:00 Uhr (möglicherweise aber nicht immer in dieser Zeit).
Wenn dem Benutzer weitere Verzögerungen zur Verfügung stehen und er die Mitteilung nicht sieht oder ignoriert, wird das Update nicht am folgenden Abend installiert. Die letzte Installationsbenachrichtigung umgeht die Einstellung für „Nicht stören“. Auch kann die Anzahl der möglichen Verzögerungen von einem MDM-Administrator durch Eingabe eines neuen Befehls aktualisiert werden. Geschieht dies, wird der Zähler für die Verzögerungen auf dem Mac zurückgesetzt.