Software-updates installeren en afdwingen voor Apple apparaten
Met declaratief apparaatbeheer kunnen organisaties verschillende aspecten van het software-updateproces configureren. Zo kunnen ze onder andere de beschikbaarheid van software-updates beheren, software-updates afdwingen en apparaten bij bètaprogramma's inschrijven.
Een minimumversie afdwingen tijdens de inschrijving
Vanaf iOS 17, iPadOS 17 en macOS 14 kan met MDM-oplossingen een minimale besturingssysteemversie worden afgedwongen tijdens automatische apparaatinschrijving. Als het apparaat niet de minimumversie heeft die door de MDM-oplossing (Mobile Device Management) wordt vereist, moet de gebruiker een update uitvoeren voordat de configuratie-assistent kan worden voltooid. Hetzelfde gebeurt automatisch als 'Ga automatisch verder' wordt gebruikt. Zo wordt ervoor gezorgd dat apparaten die eigendom zijn van de organisatie de vereiste besturingssysteemversie hebben voordat ze in gebruik worden genomen.
De beschikbaarheid van software-updates beheren
In sommige gevallen wil een organisatie kunnen bepalen naar welke versies gebruikers hun apparaten kunnen bijwerken. Op deze manier kan bijvoorbeeld een update in een testgroep worden geverifieerd voordat alle gebruikers de update in gebruik mogen nemen of kunnen verschillende uitstelperioden worden geïmplementeerd voor verschillende groepen zodat recente updates gefaseerd kunnen worden uitgerold.
Uitstel op basis van tijd
Voor apparaten die onder toezicht staan kan worden ingesteld dat gebruikers pas draadloze software-updates en -upgrades krijgen aangeboden nadat een bepaalde periode is verstreken sinds de updates en upgrades door Apple zijn uitgebracht. Stel dat op een groep iPhones met iOS 17.3 een configuratie voor een software-update met 30 dagen uitstel wordt toegepast. In dit scenario krijgen gebruikers iOS 17.4 op hun beheerde apparaten aangeboden 30 dagen na de releasedatum van iOS 17.4.
Als onderdeel van de configuratie kunnen organisaties een aangepaste uitstelperiode van 1 tot 90 dagen opgeven. In iOS en iPadOS is dit uitstel van toepassing op besturingssysteemupdates en -upgrades. In macOS kunnen organisaties niet alleen verschillende uitstelperioden opgeven voor besturingssysteemupdates en -upgrades, maar ook voor updates die niet van toepassing zijn op het besturingssysteem. Dit zijn onder andere updates voor Safari, printerbesturingsbestanden en Xcode-commandoregeltools. In macOS kan bijvoorbeeld een aangepaste uitstelperiode worden gebruikt om een software-upgrade langer uit te stellen dan een software-update.
Opmerking: Draadloze software-updates zijn doorgaans tot 180 dagen na de releasedatum beschikbaar om ervoor te zorgen dat updates beschikbaar blijven voor beheerde apparaten waarvoor de maximale uitstelwaarde is ingesteld.
Er kan een configuratieprofiel worden aangemaakt voor elk van de hier vermelde instellingen voor de beperkingenpayload.
Minimale OS-versies | Sleutel en waarde (indien beschikbaar) | Beschrijving | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 of hoger iPadOS 11.3 of nieuwer macOS 10.13.4 of nieuwer tvOS 12.2 of nieuwer |
| Standaardwaarde is onwaar. Indien ingesteld op waar:
Opmerking: Dit geldt niet voor seedversies van macOS. | |||||||||
macOS 11.3 of nieuwer |
| Standaardwaarde is onwaar. Als deze sleutel is ingesteld op waar, wordt de zichtbaarheid van software-upgrades voor gebruikers 30 dagen uitgesteld, behalve wanneer een andere waarde voor uitstel wordt opgegeven met | |||||||||
macOS 11.3 of nieuwer |
| Standaardwaarde is onwaar. Als deze sleutel is ingesteld op waar, wordt de zichtbaarheid van app-updates voor gebruikers 30 dagen uitgesteld, behalve wanneer een andere waarde voor uitstel wordt opgegeven met | |||||||||
iOS 11.3 of hoger iPadOS 11.3 of nieuwer macOS 10.13.4 of nieuwer tvOS 12.2 of nieuwer |
1-90 | Hiermee kan de MDM-beheerder instellen hoeveel dagen een software-update wordt uitgesteld. Vereist bij het gebruik van Wanneer een waarde is ingesteld, wordt een software-update pas zichtbaar voor gebruikers na de opgegeven uitstelperiode (gerekend vanaf de releasedatum van de software in de Apple Software Lookup Service). Deze waarde bepaalt het uitstel voor
Opmerking: Tot macOS 11.3 bepaalde deze waarde de uitstelperiode voor | |||||||||
macOS 11.3 of nieuwer |
1-90 | Hiermee kan de MDM-beheerder instellen hoeveel dagen een software-upgrade wordt uitgesteld. De maximumwaarde is 90 dagen en de standaardwaarde is 30 dagen. Wanneer een waarde is ingesteld, wordt een software-upgrade pas zichtbaar voor gebruikers na de opgegeven uitstelperiode (gerekend vanaf de releasedatum van de software in de Apple Software Lookup Service). Deze waarde bepaalt het uitstel voor | |||||||||
macOS 11.3 of nieuwer |
1-90 | Hiermee kan de MDM-beheerder instellen hoeveel dagen een software-update wordt uitgesteld. De maximumwaarde is 90 dagen en de standaardwaarde is 30 dagen. Wanneer een waarde is ingesteld, wordt een software-update pas zichtbaar voor gebruikers na de opgegeven uitstelperiode (gerekend vanaf de releasedatum van de software in de Apple Software Lookup Service). Deze waarde bepaalt het uitstel voor | |||||||||
macOS 11.3 of nieuwer |
1-90 | Hiermee kan de MDM-beheerder instellen hoeveel dagen een app-update wordt uitgesteld. De maximumwaarde is 90 dagen en de standaardwaarde is 30 dagen. Wanneer een waarde is ingesteld, wordt een app-update pas zichtbaar voor gebruikers na de opgegeven uitstelperiode (gerekend vanaf de releasedatum van de software). Deze waarde bepaalt het uitstel voor |
Aanbevolen frequentie voor iOS en iPadOS
Naast uitstel op basis van tijd kunnen organisaties ook opgeven of gebruikers van iPhones en iPads die onder toezicht staan de mogelijkheid hebben om te upgraden naar een nieuwere grote versie of dat ze gebruik moeten blijven maken van de huidige versie, maar wel kleine updates blijven ontvangen, zelfs nadat een upgrade beschikbaar is gesteld.
Voor een iPhone met iOS 16.6.1 zijn er bijvoorbeeld drie opties:
Gebruikers alleen aanvullende updates voor iOS 16 aanbieden.
Gebruikers alleen de upgrade naar iOS 17 aanbieden.
Gebruikers de keuze geven: aanvullende updates voor iOS 16 (bijvoorbeeld iOS 16.7) of upgraden naar iOS 17.
De eerste optie is beschikbaar gedurende een beperkte periode en geeft gebruikers de mogelijkheid om te profiteren van belangrijke beveiligingsupdates terwijl de grote upgrade wordt getest voor de productieomgeving.
In combinatie met uitstel kan een aanbevolen frequentie worden gebruikt. In het bovenstaande voorbeeld kan een aanbevolen frequentie worden gebruikt om apparaten op iOS 16 te houden en updates (zoals iOS 16.7) alleen gedurende de opgegeven tijdsperiode uit te stellen.
Autorisatie door een beheerder vereisen in macOS
Organisaties kunnen de standaardconfiguratie wijzigen zodat autorisatie door een lokale beheerder is vereist om een software-update te installeren. Hiermee kan bijvoorbeeld worden beperkt wie een update kan uitvoeren in implementaties waarbij een apparaat door meerdere gebruikers wordt gedeeld.
Software-updates afdwingen
Organisaties kunnen specifieke software-updates op een gewenst tijdstip afdwingen, ook als er uitstel is geconfigureerd of als automatische installatie van snelle beveiligingsmaatregelen is uitgeschakeld. Zo kunnen organisaties ervoor zorgen dat op een bepaalde datum en tijd de gewenste softwareversie op beheerde apparaten is geïnstalleerd terwijl gebruikers toch de tijd hebben om de update te installeren op een moment dat het hun goed uitkomt (vóór de uiterste datum).
De lokale tijdzone is van toepassing op de uiterste datum en tijd. Zo kan dezelfde configuratie worden toegepast in verschillende regio's. Als de uiterste datum bijvoorbeeld is ingesteld op 18:00 uur, proberen apparaten de update uit te voeren om 18:00 uur op de opgegeven datum in de lokale tijdzone.
Bij de aankondiging van een software-update worden gebruikers van de deadline op de hoogte gesteld:
In Instellingen (iOS en iPadOS) en in Systeeminstellingen (macOS)
In een melding
Afhankelijk van de resterende tijd tot de deadline worden in de melding verschillende opties weergegeven (hieronder beschreven). Om gebruikers meer inzicht te geven in het proces, kan aanvullende informatie over de update worden toegevoegd via de link 'Meer informatie'.
Als de gebruiker de installatie niet onmiddellijk start, is het afhankelijk van de resterende tijd welke meldingen en opties worden weergegeven. Ze worden vaker weergegeven naarmate de uiterste datum dichterbij komt en zijn bedoeld om gebruikers aan te moedigen om de update te installeren op een moment dat het hun uitkomt. Om ervoor te zorgen dat de gebruiker deze meldingen te zien krijgt, wordt de functie 'Niet storen' tijdens de laatste 24 uur vóór de deadline genegeerd.
Om de update vanuit een melding of vanuit Instellingen of Systeeminstellingen te starten en te autoriseren, wordt de gebruiker gevraagd om een toegangscode of wachtwoord.
Wanneer de gebruiker de update niet vóór de vereiste lokale datum heeft geïnstalleerd, gebeurt het volgende:
Als er in iOS en iPadOS een toegangscode is ingesteld, wordt de gebruiker gevraagd om deze in te voeren (behalve wanneer deze al eerder is ingevoerd).
In macOS worden alle geopende apps geforceerd gesloten (ongeacht of er documenten met niet-bewaarde wijzigingen zijn geopend) en wordt indien nodig een herstart uitgevoerd.
Op een Mac met Apple silicon wordt een Bootstrap Token (indien beschikbaar) gebruikt om de update te autoriseren. In de overige gevallen wordt de gebruiker om authenticatiegegevens gevraagd.
Om de installatie van een update, upgrade of snelle beveiligingsmaatregel af te dwingen, moet een apparaat voldoen aan de vereisten die gelden voor een door de gebruiker gestarte update van hetzelfde type.
Een belangrijk voordeel van declaratief apparaatbeheer is dat apparaten autonoom zijn. In plaats van afzonderlijke acties te starten, maakt de MDM-oplossing de gewenste status bekend. Vervolgens wordt het aan het apparaat zelf overgelaten om die status te bereiken. Een voorbeeld hiervan is een situatie waarin de deadline voor het afdwingen van een software-update is gemist omdat het apparaat niet aan de vereisten voldeed. Het apparaat detecteert automatisch dat de bekendgemaakte status nog niet is bereikt en hervat het proces wanneer het met het internet verbonden wordt.
Indien nodig wordt de update gedownload en voorbereid door het besturingssysteem, waarna een nieuwe melding wordt weergegeven waarin de gebruiker wordt verteld dat de deadline voor een update is verstreken en dat er binnen een uur opnieuw wordt geprobeerd om de update te installeren. Als het proces om welke reden dan ook opnieuw wordt onderbroken, wordt het proces weer herhaald wanneer het apparaat opnieuw wordt opgestart en met het internet wordt verbonden.
Met de statusrapporten van declaratief apparaatbeheer kunnen MDM-oplossingen ook meer inzicht krijgen in de status van de installatie, bijvoorbeeld of er op de update wordt gewacht, of de update wordt gedownload en voorbereid of dat de update wordt geïnstalleerd. Er zijn duidelijke foutcodes toegevoegd voor het geval de release niet kon worden toegepast of kon worden voltooid. De codes geven bijvoorbeeld aan dat het apparaat offline was, dat de batterij bijna leeg was of dat er onvoldoende vrije ruimte beschikbaar was.
iPadOS bijwerken op gedeelde iPads
Software-updates op gedeelde iPads kunnen draadloos worden gestart via de MDM-oplossing waarbij de gedeelde iPad is ingeschreven. Als het apparaat fysiek is verbonden, kan ook de Finder of Apple Configurator op een Mac worden gebruikt.
Om een update op een gedeelde iPad te installeren, moeten de gebruikers uitgelogd zijn. Ze kunnen echter wel in de cache op het apparaat blijven staan. Als er meer vrije ruimte vereist is dan er beschikbaar is, moeten gegevens van gebruikersaccounts uit de cache worden verwijderd. Doordat apparaten bij declaratief apparaatbeheer autonoom zijn, blijven ze proberen om een nieuwe release te installeren totdat het gelukt is.
Om de tijd dat een gedeelde iPad niet kan worden gebruikt tot een minimum te beperken, moeten updates van een gedeelde iPad buiten school- of werktijd worden gepland. Zo ondervinden het netwerk en de gebruikers er zo min mogelijk hinder van.
Zie Updates en upgrades van iPadOS op een gedeelde iPad voor meer informatie.
Gebruiker toestaan om software-updates en -upgrades van macOS tijdelijk uit te stellen
Voor nog meer controle is het mogelijk om in macOS 12.3 of nieuwer een bepaalde software-update of -upgrade af te dwingen, met de mogelijkheid voor gebruikers om deze een aantal keren uit te stellen. In een MDM-oplossing die deze mogelijkheid ondersteunt, kun je het aantal keren opgeven met de sleutel MaxUserDeferrals
in de installatietaak InstallLater
.
De installatiemelding wordt ongeveer eens per 24 uur weergegeven. De update of upgrade wordt uitgesteld als de gebruiker de melding sluit. De gebruiker heeft de volgende mogelijkheden nadat deze op de melding heeft geklikt:
Installeer nu: De update of upgrade wordt onmiddellijk gedownload en geïnstalleerd.
Probeer vannacht: De update wordt later gedownload en geïnstalleerd.
Als de gebruiker deze optie selecteert, gebruikt de Mac de gegevens van de afgelopen 21 dagen om met behulp van machinelearning te bepalen wat het beste tijdstip tussen ongeveer 2:00 en 4:00 uur is om de update of upgrade te downloaden en te installeren (het kan gebeuren dat een ander tijdstip wordt gebruikt).
Als de gebruiker de update of upgrade nog kan uitstellen en de melding niet ziet of negeert, wordt de update die avond niet geïnstalleerd. Als 'Niet storen' actief is, wordt dit door de laatste installatiemelding genegeerd. Ook kan een MDM-beheerder het aantal keren dat een update of upgrade kan worden uitgesteld bijwerken door een nieuw commando te versturen. In dat geval wordt de teller voor uitstel op de Mac opnieuw ingesteld.