安裝和強制執行 Apple 裝置的軟體更新
使用宣告式裝置管理,組織可以設定不同層面的軟體更新程序。這包含管理軟體更新適用範圍,強制執行軟體更新,將裝置註冊 Beta 版計畫等。
註冊期間要求的最低版本
從 iOS 17、iPadOS 17 和 macOS 14 開始,MDM 解決方案可以在「自動裝置註冊」期間強制執行最低作業系統版本。如果裝置沒有達到行動裝置管理(MDM)解決方案的最低版本需求,系統會引導使用者進行更新後才能完成「設定輔助程式」。與「自動前進」搭配使用時會自動出現相同的程序。這可協助確保歸組織所有的裝置在投入生產前已安裝必要的作業系統版本。
管理軟體更新的適用範圍
組織可能會想控制其使用者可以將裝置更新到哪些版本。例如,此控制可以用來搭配測試群組執行更新的驗證後再讓所有使用者安裝更新投入生產,或是部署不同的延遲到不同的群組來分階段推出最近的更新。
因時間啟動的延遲
自 Apple 發佈更新起,受監管的裝置在指定的期間過去之前都可以防止提供 OTA 軟體更新給使用者。例如,假設一組 iPhone 使用的是 iOS 17.3,系統會套用 30 天的延遲軟體更新設定。在此情況下,系統將 iOS 17.4 提供給使用者的受管理裝置的時間會在 iOS 17.4 發佈日期的 30 天後。
作為設定的一部分,組織可以指定從 1 到 90 天的自訂延遲期間。在 iOS 和 iPadOS 中,此延遲會一併套用到作業系統更新和升級。在 macOS 中,組織也可以替作業系統更新、升級和非作業系統更新指定不同的延遲時段。非作業系統更新包含 Safari、XProtect、印表機驅動程式和 Xcode 命令列工具的更新。例如,自訂延遲可以在 macOS 上用來延遲比軟體更新長的軟體升級。
【注意】OTA 軟體更新項目在最初發佈日期後通常最多可維持 180 天,藉此確保更新隨時可供具備最大延遲值的裝置使用。
在 iOS 和 iPadOS 上的建議步調
除了定義因時間啟動的延遲之外,組織可以定義受監管 iPhone 和 iPad 裝置上的使用者是否擁有升級到較新、主要版本或即使在升級可供使用之後仍繼續使用目前版本並維持接收次要更新的選項。
例如,在使用 iOS 17.6 的 iPhone 上,可以使用下列三個選項中的其中一個:
只提供使用者 iOS 17 的其他更新。
只提供使用者升級到 iOS 18。
允許使用者選擇:iOS 17 的其他更新(例如,iOS 17.7)或升級到 iOS 18。
第一個選項只適用於有限的一段時間,並讓使用者在測試完成以核准產品環境的主要升級時受益於任何重要的安全性更新。
建議的步調可以與延遲聯合使用。在上方範例中,建議的步調可用來讓裝置維持安裝 iOS 17 同時延遲軟體更新(例如iOS 17.7)僅限定義的一段時間。
自動安裝軟體更新
在 iOS 18、iPadOS 18 和 macOS 14 中,組織可以在受監管的裝置上管理自動軟體更新的動作。
自動軟體更新(非升級)
針對下載並準備自動軟體更新,下列設定選擇可供使用:
讓使用者選擇是否開啟自動下載。
已關閉自動更新下載。
已開啟自動更新下載。
針對安裝自動軟體更新和升級,下列設定選擇可供使用:
讓使用者選擇是否開啟自動更新安裝。
已關閉自動更新安裝。
已開啟自動更新安裝。
【注意】此選項需要開啟自動下載。
這些選擇可為組織提供更詳盡的控制項目來定義最適合的自動軟體更新方式。
在 macOS 中,安全性更新有一個額外設定具備相同的三個設定選項,該安全性更新包含 XProtect、「門禁」和系統資料檔案的更新項目。如需更多資訊,請參閱 Apple 支援文章: 關於 macOS 中的背景更新。
自動快速安全回應
「快速安全回應」並不會依附於受管理的軟體更新延遲。由於「快速安全回應」只會套用到最新的次要作業系統版本,若該更新遭延遲,「快速安全回應」實際上也會受到延遲。
組織可以定義是否要自動套用「快速安全回應」並指定是否可讓使用者在進行套用後將其移除。
要求由 macOS 上的管理者授權
組織可以更改預設動作來要求由本機管理者授權才能安裝軟體更新。例如,這可在與多位使用者共享的裝置部署中使用來限制誰可以執行更新。
強制執行軟體更新
組織可以無視設定的延遲或在「快速安全回應」的自動安裝已關閉時於所選時間強制執行特定軟體更新。這可協助確保受管理的裝置執行依照特定日期和時間的指定版本,同時讓使用者在其方便的時間(在強制執行日期之前)安裝更新。
強制執行的日期和時間是相對於裝置的當地時區。這可讓相同的設定在不同的地區之間套用。例如,若強制執行日期設為下午 6 點,裝置便會在其當地時區指定日期的下午 6 點嘗試執行更新。
宣告軟體更新時,使用者會得知更新的期限:
在「設定」(iOS 和 iPadOS)中和「系統設定」(macOS)中
在通知中
視直到強制執行期限的所剩時間而定,通知會提供不同的選項(如下所述)。為了讓程序更加透明並讓使用者隨時了解程序狀況,關於更新的其他資訊可以使用「更多資訊」連結提供。
若使用者並未立即開始安裝,取決於剩餘時間而顯示的通知和選項則會在強制執行日期之前更加頻繁,且用意為敦促使用者在其方便的時間安裝更新。為了協助確保這些通知會對使用者顯示,「勿擾模式」功能在強制執行之前的 24 小時期間會被忽略。
或者,在 iOS 18、iPadOS 18 和 macOS 15 中,組織可以設定讓通知在強制執行期限的 1 小時之前才顯示以及顯示重新啟動的倒數。這可減少裝置上顯示的通知數量,例如,若通知並非直接指派給使用者(如同多媒體事務機部署)。
系統會提示使用者輸入其密碼以便從通知或從「設定」和「系統設定」啟動並授權更新。
假如使用者在本機強制執行日期前尚未安裝更新:
iOS 和 iPadOS 會強制使用者在已設定密碼時輸入其密碼(除非之前已輸入)
macOS 會強制結束所有打開的 App(無論是否有任何文件已打開且未儲存)並視需要執行重新啟動
在配備 Apple 晶片的 Mac 上,Mac 會使用 Bootstrap 代號(若可用)來授權更新或是 Mac 會提示使用者提供其憑證。
若要強制執行更新、升級或「快速安全回應」的安裝,裝置必須符合與使用者啟動相同類型之更新的相同需求。
宣告式裝置管理的關鍵優勢在於裝置的自主。作為觸發個別動作的替代,MDM 解決方案會宣告期望的狀態並將達成該狀態的任務委託給裝置本身。此動作的特定範例為由於裝置不符合需求而錯過軟體更新強制執行日期的情況。裝置會自動偵測到宣告的狀態尚未達成並在連接到網際網路時繼續該程序。
為了執行此操作,如有需要,作業系統會下載並準備更新和發佈另一則通知來讓使用者知道安裝已過期,而且會在下一個小時內嘗試執行安裝。假如程序再次因任何理由而遭中斷,下次裝置開機並連接到網際網路時便會重複該程序。
將可用的狀態報告與宣告式裝置管理搭配使用,MDM 解決方案也可以在安裝的狀態上更加透明,例如等待、下載並準備,或安裝更新。系統已加入有意義的錯誤代碼,以防萬一發佈無法套用或未能順利完成。此情況的部分範例為若裝置離線,若電池電量過低,或是若沒有足夠的可用空間。
更新「共享的 iPad」上的 iPadOS
「共享的 iPad」裝置上的軟體更新可使用「共享的 iPad」註冊的 MDM 解決方案以空中傳輸的方式啟動。若已實際連接裝置,則也可使用 Mac 上的 Finder 或 Apple Configurator。
若要在「共享的 iPad」上安裝更新,使用者必須登出但可在裝置上處於快取狀態。若安裝需要多於目前提供的可用空間,則必須移除快取的使用者帳號資料。由於宣告式裝置管理的自主,裝置會持續嘗試安裝新的發佈直到安裝成功。
若要將停用時間減到最少,「共享的 iPad」的更新應該排程在離峰時段進行,以便將對使用者和網路的影響降到最低。
如需更多資訊,請參閱「共享的 iPad」的更新和升級到 iPadOS。