MDM:n käyttäminen ohjelmistopäivitysten käyttöönottoon Apple-laitteille
Deklaratiivinen laitehallinta on Applen laitehallinnan tulevaisuus. Sen ansiosta laitteet voivat ottaa käyttöön asetuksia asynkronisesti ja raportoida tilansa mobiililaitteiden hallintaratkaisuun (MDM) ilman jatkuvaa kyselemistä. Tämä on ihanteellista suorituskyvyn ja skaalautuvuuden näkökulmasta ja mahdollistaa nykyaikaisen lähestymistavan ohjelmistopäivitysten hallintaan. Deklaratiivinen laitehallinta tarjoaa proaktiivista tilaraportointia laitteista, kun arvot ja määritykset muuttuvat. Näin MDM-ratkaisulla on aina ajan tasalla oleva näkymä laitteisiin ilman säännöllisiä kyselyitä.
Sen sijaan, että MDM-ratkaisu käynnistäisi päivityksen lähettämällä ohjelmistopäivityskomennon laitteeseen, se määrittää halutun käyttöjärjestelmäversion tilan ja jakaa itse laitteelle tehtävän saavuttaa kyseinen tila. Tämä mahdollistaa kestävämmän hallitun ohjelmistopäivitysprosessin ja lisää käyttäjän läpinäkyvyyttä.
Ohjelmistopäivitysten deklaratiivisten määritysten hyödyntämisen tärkeys
MDM-ratkaisujen tulee hyödyntää ohjelmistopäivitysten deklaratiivisia määrityksiä aina, kun mahdollista Vanhat ohjelmistopäivityskomennot ja -profiilit ovat kuitenkin edelleen saatavilla ja tuettuja. Niitä voidaan käyttää ohjelmistopäivitysten deklaratiivisten määritysten rinnalla seuraavin muutoksin:
Deklaraation määrittämät lykkäykset ovat ensisijaisia rajoituksen määrittämiin lykkäyksiin nähden.
Deklaraation käyttämät macOS:n automaattisen ohjelmistopäivityksen asetukset ovat ensisijaisia asetusprofiilin automaattisen päivityksen asetuksiin nähden.
Kun deklaratiivisen laitehallinnan määrittämä ohjelmistopäivitys odottaa suorittamista, laitteessa ei enää käsitellä kaikkia MDM-komentoja. Tällöin palautetaan virheitä, joissa kerrotaan aktiivisen deklaraation ollessa laitteessa, kuten seuraavassa taulukossa näkyy:
MDM-komento | Tulos | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| Rajoitettu: macOS:ssä ei hallitut käyttöjärjestelmäpohjaiset päivitykset saattavat tulla näkyviin komentovastauksessa – esimerkiksi Xcodessa tai komentorivityökaluissa. | ||||||||||
| Laite palauttaa | ||||||||||
| Laite palauttaa tyhjän tilataulukon. |
Applen ohjelmistojen hakupalvelun käyttäminen
Applen ohjelmistojen hakupalvelu (saatavilla osoitteessa https://gdmf.apple.com/v2/pmv) on virallinen resurssi, jolla voidaan hankkia luettelo julkisesti saatavilla olevista päivityksistä ja pikaturvapäivityksistä. Sen avulla MDM-ratkaisu voi kysellä julkaisuja heti, kun ne on julkaistu, ja laskea jokaisen laitteistomallin yhteensopivuuden ajoissa ja tarkasti.
JSON-vastaus sisältää kolme luetteloa saatavilla olevista ohjelmistojulkaisuista:
PublicAssetSets: Tämä luettelo sisältää viimeisimmät päivitykset, jotka ovat saatavilla suurelle yleisölle, jos he yrittävät pientä tai suurta päivitystä.
AssetSets: Tämä luettelo on PublicAssetSets-luettelon osajoukko, ja se sisältää kaikki saatavilla olevat julkaisut, joita MDM-ratkaisut voivat lähettää valvotuille laitteille.
PublicRapidSecurityResponses: Luettelo sisältää tällä hetkellä Apple-laitteille saatavilla olevat pikaturvapäivitysjulkaisut.
Kukin luettelon osanen sisältää käyttöjärjestelmän ProductVersion
-ja Build
-numeron, PostingDate
-päivän, jolloin se julkaistiin, ExpirationDate
-päivän ja luettelon julkaisun SupportedDevices
-laitteista. Laiteluettelo vastaa laitteesta saatavaa ProductName
-arvoa, jotka palautetaan DeviceInformation
-vastauksessa, alun Authenticate
-pyynnössä tai MachineInfo
-kyselyssä, kun laite yrittää rekisteröityä.
Vanhenemispäivä, joka on yleensä asetettu 180 päivään julkaisupäivän jälkeen, määrittää päivän, jolloin päivityksen allekirjoitus vanhenee. Vanhentunutta päivitystä ei enää voida asentaa laitteisiin. Kun peräkkäisiä päivityksiä tulee saataville, edellisten päivitysten vanhenemispäivät ovat voineet päivittyä. Jos vanhenemispäivää ei kerrota, päivitys ei ole vielä vanhentunut. Päivitys on vanhentunut vain, kun sen vanhenemispäivä on menneisyydessä.
Tiedot on ryhmitetty käyttöjärjestelmäalustan mukaan käyttäen seuraavia avaimia:
iOS
(joka sisältää iPadOS:n, tvOS:n ja watchOS:n)macOS
xrOS
(joka on visionOS)
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "17.5",
"Build": "21F6079",
"PostingDate": "2024-05-13",
"ExpirationDate": "2024-08-15",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
Määritä tuoteversioluettelon avulla, mitkä versiot ovat uudempia kuin laitteen nykyinen käyttöjärjestelmäversio ja koskevat tiettyä laitetta. Tarjoa MDM-ylläpitäjälle tämä versioiden luettelo, joka sisältää mahdolliset käyttöjärjestelmäpäivitykset.
Tilaraportin lähettäminen MDM-ratkaisuun
Jos halutaan saada muuttuvien tilakohteiden päivityksiä, palvelimen on tilattava kukin tilaraportti lähettämällä ManagementStatusSubscriptions
-deklaraation laitteeseen. Tällöin laite lähettää StatusReport
-tilaraportin MDM-ratkaisuun, kun ManagementStatusSubscriptions
-deklaraatio aktivoituu, tilatun kohteen tila muuttuu ja aina 24 tunnin välein.
Jotta MDM-ratkaisu voi seurata käyttöjärjestelmien versioita ja ohjelmistopäivitysten tilaa, MDM-ratkaisun kannattaa tilata seuraavat tilaraportit:
Tilaraportti | Kuvaus |
---|---|
| Laitteen käyttöjärjestelmän build-versio (esimerkiksi 21E219). |
| Laitteessa käytössä olevan käyttöjärjestelmän versio (esimerkiksi 17.4). |
| Laitteessa käytössä olevan käyttöjärjestelmän build-versio ja pikaturvapäivitysten versiot (esimerkiksi 20A123a tai 20F75c). |
| Laitteessa käytössä olevan käyttöjärjestelmän pikaturvapäivityksen versio (esimerkiksi a). |
| Sanakirja, joka sisältää laitteessa odottavan ohjelmistopäivityksen build-version ja käyttöjärjestelmän version. |
| Ohjelmistopäivityksen asennuksen tila, jossa on seuraavat arvot:
|
| Sanakirja, jossa on tietoja odottavan ohjelmistopäivityksen syistä.
|
| Tietoja epäonnistuneesta ohjelmistopäivityksestä. Tietoihin sisältyy ohjelmistopäivityksen epäonnistumisten määrä, viimeisen epäonnistumisen aikaleima ja epäonnistumisen syy. |
| Laitteen rekisteröidyn betaohjelman nimi tai tyhjä merkkijono, jos rekisteröityä betaohjelmaa ei ole. |
Muiden raporttien lisäksi MDM-ratkaisu saattaa haluta tarjota softwareupdate.install-reason
-raporttia ylläpitäjille tukitarkoituksia varten ja antaakseen lisätietoja siitä, miten päivitys käynnistettiin. Tämän sanakirjan avulla voidaan selvittää, onko käyttäjä käynnistänyt päivityksen itse, onko päivitys tapahtunut automaattisesti vai onko päivitys tehty ohjelmistopäivityksen toteutuksen deklaraation vaatimuksen seurauksena.
Tietyn ohjelmiston vähimmäisversion vaatiminen MDM-rekisteröinnin aikana
Jos laite tukee tätä toimintoa, se palauttaa MDM_CAN_REQUEST_SOFTWARE_UPDATE-avaimen, jonka asetus on Tosi, MachineInfo
-tiedoissa, jotka se lähettää MDM-ratkaisulle alustavassa HTTP POST -pyynnössä, kun laite havaitsee hallinnan määrityksen käyttöönottoapurissa. Jos haluat lisätietoja, katso MachineInfo yaml -tiedosto Applen laitehallinnan GitHub-arkistossa.
Lisäksi laitteet tarjoavat seuraavia MachineInfo
-tietojen kenttiä (kaikki merkkijonot) :
Avain | Tuettu minimikäyttöjärjestelmä | Kuvaus | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Laitteeseen asennettu build-versio (esimerkiksi 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Laitteeseen asennettu käyttöjärjestelmän versio (esimerkiksi 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Laitteen pikaturvapäivityksen versio (jos sellainen on saatavilla). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Laitteen pikaturvapäivityksen extra-versio (jos sellainen on saatavilla). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Laitemallin tunniste, jota käytetään saatavilla olevien käyttöjärjestelmäpäivitysten etsimiseen Applen ohjelmistojen hakupalvelussa. |
Tarjottujen tietojen perusteella MDM-ratkaisu voi päättää, pakotetaanko laite päivittämään.
Jos MDM-ratkaisu päättää, että ohjelmistopäivitystä ei vaadita, se palauttaa MDM-rekisteröintiprofiilin vastauksena HTTP POST -pyyntöön, mitä se tekisi yleensä MDM-rekisteröinnin jatkumisen sallimista varten.
Jos MDM-ratkaisu päättää vaatia ohjelmistopäivityksen, sen on palautettava HTTP-vastaus, joka sisältää 403-tilakoodin, ja lisättävä JSON- tai XML-objekti vastausrunkoon (HTTP Content-Type -vastauksen otsikoksi on asetettava
application/json
tai vastaavastiapplication/xml
).
Tämän virhevastauksen vastaanottamisen jälkeen laite yrittää päivittää määritettyyn versioon. Jos päivitys onnistuu, laite on käynnistettävä uudelleen ja käyttäjän on mentävä uudelleen käyttöönottoapurin läpi. Seuraava MachineInfo
POST -pyyntö laitteelta MDM-ratkaisuun näyttää päivitetyn käyttöjärjestelmäversion, ja MDM-ratkaisu voi sitten jatkaa MDM-rekisteröintiä. Jos päivitys epäonnistuu, käyttäjälle näytetään virhe ja Etähallinta-osio tulee uudelleen näkyviin käyttöönottoapurissa.
response
-malli määritetään alla olevassa taulukossa.
Avain | Tyyppi | Vaaditaan | Kuvaus | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| Merkkijono | Kyllä | Asetuksen on oltava | ||||||||
| Merkkijono | Ei | Virheen kuvaus. Käytetään vain kirjaamistarkoituksiin. | ||||||||
| Merkkijono | Ei | Käyttäjän näkemiseen sopiva virheen kuvaus. | ||||||||
| Sanakirja | Kyllä | Ohjelmistopäivityksen lisätietoja. |
details
-sanakirjan malli määritetään tässä.
Avain | Tyyppi | Vaaditaan | Kuvaus | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| Merkkijono | Kyllä | Käyttöjärjestelmäversio, johon laite on päivitettävä. | ||||||||
| Merkkijono | Ei | Build-versio, johon laite on päivitettävä. | ||||||||
| Sanakirja | Ei | Laite rekisteröidään betaohjelmaan, ja vaaditut ohjelmistopäivitykset sallitaan betaohjelman käyttöjärjestelmäversioille. Laite säilyy betaohjelmassa sen jälkeen kun vaadittu ohjelmistopäivitys on suoritettu. |
Jos vain OSVersion
on määritetty, laite lataa ja asentaa automaattisesti minkä tahansa tälle versiolle saatavilla olevan pikaturvapäivityksen. Jos tarvitaan tiettyä build- tai lisäversiota, MDM-ratkaisu voi valinnaisesti myös tehdä BuildVersion
-määrityksen. Jos esimerkiksi vaaditaan, että laite käyttää iOS 16.5.1(a) -versiota ennen rekisteröitymistä – vaikka iOS 16.5.1(c) on jo saatavilla – MDM-ratkaisun on asetettava OSVersion
iOS 16.5.1:een ja BuildVersion
20F770750b:hen.
Tärkeää: Ennen macOS 15:tä voidaan määrittää vain PublicAssetSets
- ja PublicRapidSecurityResponses
-luettelojen julkaisuja. macOS 15:ssä voidaan käyttää myös AssetSets
-resursseja.
Ohjelmistopäivitysten MDM-asetukset
com.apple.configuration.softwareupdate.settings
-deklaraatio (saatavilla iOS 18:ssa, iPadOS 18:ssa ja macOS 15:ssä) sisältää sanakirjoja, joita voidaan käyttää ohjelmistopäivitysten eri toimintojen määrittämiseen.
Kun MDM-ratkaisu jakaa eri avaimia eri deklaraatioihin, laite yhdistää kaikkien aktiivisten ohjelmistopäivitysasetusten deklaraatioiden asetukset. Jos useampi deklaraatio määrittää saman avaimen, yhdistämistoiminta riippuu yksittäisestä avaimesta ja se kuvataan seuraavissa taulukoissa.
Automaattisten ohjelmistopäivitysten määrittäminen MDM:llä
com.apple.configuration.softwareupdate.settings
-deklaraatio tarjoaa sanakirjan, joka määrittää hallittujen iPhone-, iPad- ja Mac-laitteiden automaattisen ohjelmistopäivityksen toiminnan. Jos haluat lisätietoja, katso AutomaticActions-sanakirjan avaimet.
Näin MDM käsittelee pikaturvapäivityksiä
Pikaturvapäivityksiä käytetään aina käyttöjärjestelmän viimeisimpään päivitykseen, josta tulee pikaturvapäivityksen perusversio. Jos esimerkiksi iPhonessa on asennettuna käyttöjärjestelmäversio iOS 17.2, siihen asennetaan lisäpäivitys 17.2 (a), jos sellainen on saatavilla. iOS 18:ssa, iPadOS 18ssa ja macOS 15:ssä on saatavilla yhdistettyjä päivityksiä, minkä ansiosta ohjelmistopäivitys voi sisältää minkä tahansa saatavilla olevan pikaturvapäivityksen.
Ennen iOS 18:aa, iPadOS 18:aa ja macOS 15:tä MDM-ratkaisun on ehkä käynnistettävä kaksi ohjelmistopäivitystä varmistaakseen, että tietty lisäpäivitysversio on saatavilla: Ensin laite on päivitettävä lisäpäivityksen perusversioon, jos ei se vielä ole perusversiossa (esimerkiksi iOS 17.1:stä iOS 17.2:een). Sitten laite on päivitettävä perusversiosta lisäversioon (esimerkiksi iOS 17.2:sta iOS 17.2 (a:han)).
iOS 18:ssa, iPadOS 18:ssa ja macOS 15:ssä MDM-ratkaisulla voidaan määrittää joko:
käyttöjärjestelmän versio (joka asentaa automaattisesti saatavilla olevat pikaturvapäivitykset)
build-lisäversio (joka aiheuttaa laitteen automaattisen päivittämisen tarvittavaan perusversioon osana prosessia)
Nämä kaksi lähestymistapaa liittyy ohjelmistopäivityksen vaatimisen määritykseen ja vaadittuun vähimmäisversioon automaattisessa laiterekisteröinnissä.
com.apple.configuration.softwareupdate.settings
-deklaraatiota voidaan käyttää myös hallittujen iPhone-, iPad- ja Mac-laitteiden pikaturvapäivitysten toiminnan määrittämiseen. Jos haluat lisätietoja, katso RapidSecurityResponse-sanakirjan avaimet iOS:lle, iPadOS:lle ja macOS:lle.
Ohjelmistopäivityksen lykkääminen MDM:llä
Pienet tai suuret ohjelmistopäivitykset voidaan lykätä 1–90 päivää käyttämällä com.apple.configuration.softwareupdate.settings
-deklaraatiota hallituissa iPhone-, iPad- ja Mac-laitteissa.
Määritetty lykkäys määrittää, kuinka monen päivän kuluttua käyttäjälle tarjotaan julkaisu sen alkuperäisen julkaisupäivän jälkeen. Määritetystä lykkäyksestä riippumatta MDM-ratkaisu voi edelleen pakottaa tietyn ohjelmistopäivityksen tai pikaturvapäivityksen hallituissa laitteissa. Jos haluat lisätietoja, katso Deferrals-sanakirjan avaimet iOS:lle ja iPadOS:lle ja Deferrals-sanakirjan avaimet macOS:lle.
Huomaa: Ohjelmistopäivitysten lykkääminen lykkää myös pikaturvapäivitykset, jotka ovat riippuvaisia tästä versiosta.
Ohjelmistopäivitysten pakottaminen MDM:llä
MDM-ratkaisut voivat pakottaa ohjelmistopäivityksen tiettyyn aikaan mennessä laiterekisteröinnillä tai automaattisella laiterekisteröinnillä rekisteröidyissä laitteissa käyttämällä com.apple.configuration.softwareupdate.enforcement.specific
-deklaraatiota.
Jos määrityksessä määritetään käyttöjärjestelmä- tai build-versio, joka on sama tai vanhempi kuin nykyinen laitteen versio, määritys ohitetaan.
Jos olemassa on useita määrityksiä käyttöjärjestelmä- tai build-versiolla, joka on uudempi kuin nykyinen laitteen versio, määritys, jolla on aikaisin päiväys ja aika, käsitellään ensin, ja muut pysyvät jonossa. Kun laite päivitetään uuteen versioon, määrityksiä käsitellään uudelleen, jolloin selvitetään, mikä niistä on seuraavaksi käsittelyvuorossa.
Mikä tahansa pikaturvapäivitys asennetaan automaattisesti, jos MDM-ratkaisussa määritellään vain TargetOSVersion
. Jos halutaan käyttää tiettyä julkaisua tai pikaturvapäivitystä, MDM-ratkaisu voi käyttää TargetBuildVersion
-avainta build-version (mukaan lukien version lisätunniste) määrittämisen lisäksi.
Jos haluat lisätietoja, katso Ohjelmistopäivitysten vaatimisen sanakirjan avaimet.
Notifications
Notifications-avain muuttaa ilmoituksen oletustoimintaa näyttäen ilmoituksen vain tunti ennen määräaikaa ja uudelleenkäynnistyslaskuria. Jos haluat lisätietoja, katso Notifications-avain.
Bootstrap Tokenin käyttäminen Applen sirulla varustetuissa Mac-tietokoneissa
MDM-ratkaisu voi valtuuttaa vaaditun ohjelmistopäivityksen valvotussa Applen sirulla varustetussa Mac-tietokoneessa pyytämällä ja tallentamalla Bootstrap Tokenin. Tämä mahdollistaa täysin saumattoman ohjelmistopäivityskokemuksen ja poistaa käyttäjän prosessiin osallistumisen tarpeen. Laite voi tarvittaessa käyttää GetBootstrapTokenRequest
-pyyntöä Bootstrap Tokenin hakemiseen MDM-ratkaisusta.
Ensimmäisessä vaiheessa MDM-ratkaisu määrittää, tukeeko laite Bootstrap Tokenia, käyttämällä SecurityInfo
-komentoa. Jos vastaukseen sisältyy BootstrapTokenRequiredForSoftwareUpdate
, jonka asetus on Tosi, laite voi käyttää Bootstrap Tokenia ohjelmistopäivityksen valtuuttamiseen.
Jos halutaan luoda Bootstrap Token, MDM-ratkaisun on lisättävä com.apple.mdm.bootstraptoken
MDM-profiilin ServerCapabilities
-taulukkoon. Jos haluat lisätietoja, katso MDM payload Apple Developer ‑verkkosivustolla.
Kun laite on saanut Bootstrap Tokenin, se luo Bootstrap Tokenin seuraavan kerran, kun Secure Tokenia käyttävä käyttäjä kirjautuu sisään. Se ilmoittautuu sitten MDM-ratkaisun päätepisteeseen ja tallentaa Tokenin SetBootstrapTokenRequest
-pyynnöllä. Jos haluat lisätietoja, katso Set Bootstrap Token Apple Developer ‑verkkosivustolla.
Jos haluat lisätietoja viimeisimmästä mallin määrityksestä, katso Applen laitehallinnan GitHub-arkisto.