针对 Apple 设备的“软件更新”设置声明式配置
使用“软件更新”设置配置可强制在特定时间更新软件。有关更多信息,请参阅使用 MDM 部署软件更新。
“软件更新”设置配置支持以下方面:
支持的最低操作系统和通道:iOS 18、iPadOS 18、“共享 iPad”设备、macOS 15 设备。
要求监督:是,以下除外:执行键、Beta 版测试
OfferPrograms键。支持的注册类型:设备注册、自动设备注册。
AutomaticActions 词典键
AutomaticActions 词典提供如下所示键(默认为 Allowed 且非必需)。
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 枚举 | 列表中的最后一个值:Allowed、AlwaysOn、AlwaysOff。 | 指定用户可否控制仅自动下载和准备可用更新(而非升级和快速安全响应):
| ||||||||
| 枚举 | 列表中的最后一个值:Allowed、AlwaysOn、AlwaysOff。 | 指定用户可否控制仅自动安装可用操作系统更新(而非升级和快速安全响应):
| ||||||||
(仅限 macOS) | 枚举 | 列表中的最后一个值:Allowed、AlwaysOn、AlwaysOff。 | 指定用户可否控制自动安装可用安全性更新:
| ||||||||
如果多个声明包括相同键的值,则任意这些声明在后续列表中所应用的最后一个值优先:Allowed、AlwaysOn、AlwaysOff。
iOS、iPadOS 和 macOS 的 RapidSecurityResponse 词典键
RapidSecurityResponse 词典包含如下所示键(默认为 True 且非必需)。
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 布尔值 | 值的逻辑“与”运算 | 如果为 false,则不会向用户提供快速安全响应安装。 这定义了是否自动在用户设备上安装快速安全响应。 | ||||||||
| 布尔值 | 值的逻辑“与”运算 | 如果为 false,则不会向用户提供快速安全感响应回滚。 此选项控制用户可否选择移除快速安全响应。 | ||||||||
快速安全响应仍可通过 com.apple.configuration.softwareupdate.enforcement.specific 声明安装,不依赖于 Enable 键。
iOS 和 iPadOS 的 Deferrals 词典键
Deferrals 词典基于各平台提供不同键来配置对应行为(无默认值,非必需)。
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1–90 之间的整数 | 最大天数 | 指定推迟软件更新的天数。设定后,软件更新和升级只有在其发布后的指定延迟天数之后才会显示。 | ||||||||
| 枚举 | 列表中的最后一个值:All、Oldest、Newest | 指定设备向用户显示软件升级的方式。软件更新和升级可用时,设备表现如下:
| ||||||||
CombinedPeriodInDays 和 RecommendedCadence 二者可结合使用。例如,如果 RecommendedCadence 设为 Oldest 且 CombinedPeriodInDays 设为 30,则用户只能在最旧版本发布之日的 30 天后才会看到该版本的软件更新。
macOS 的 Deferrals 词典键
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1–90 之间的整数 | 最大天数 | 指定推迟设备软件升级的天数。设定后,软件升级只有在其发布后的指定延迟天数之后才会显示。 | ||||||||
| 1–90 之间的整数 | 最大天数 | 指定仅推迟设备软件更新(而非软件升级或快速安全响应)的天数。设定后,软件更新只有在其发布后的指定延迟天数之后才会显示。 | ||||||||
| 1–90 之间的整数 | 最大天数 | 指定推迟非操作系统更新的天数。设定后,更新只有在其发布后的指定延迟天数之后才会显示。 | ||||||||
在 macOS 中,可使用一个额外的键确定普通用户和本地管理员可否执行更新或升级(默认行为),或者确定是否需要管理员许可(默认为 True 且非必需)。
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 布尔值 | 值的逻辑“与”运算 | 如果为 true,普通用户可执行更新和升级。 如果为 false,只有管理员可执行更新和升级。 | ||||||||
强制软件更新词典键
声明提供如下所示键(全为字符串且无默认值)。
键 | 必需 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 是 | 在合适的时间将设备更新到的目标操作系统版本。这是操作系统版本号,例如 iOS 17.4。 | |||||||||
| 否 | 在指定时间将设备更新到的目标版号,例如 21E219。系统在播种项目期间使用版号进行测试。 版号可包括补充版本标识符,例如 21E219a。如果版号与 | |||||||||
| 否 | 指定何时强制安装软件更新的本地日期时间值。使用 YYYY-MM-DDTHH:MM:SS 格式,该格式源自 RFC3339 但不包括时区偏差。 如果用户未在此时间之前触发软件更新,则设备会强制安装。 | |||||||||
| 否 | 显示组织提供的有关强制版本详细信息的网页 URL。 | |||||||||
如果配置指定的操作系统或版号与设备当前版本相同或者更旧,则配置会被忽略。
如果多个配置中存在的操作系统或版号比设备当前版本要更新,则会首先处理包含最早目标日期和时间的配置,然后处理队列中剩余的任何其他配置。设备更新到新版本后,会重新处理这一系列配置以确定接下来处理哪个配置。
如果 MDM 解决方案仅定义了 TargetOSVersion,则会自动安装任何可用的快速安全响应。若要指定特定目标版本或快速安全响应,MDM 解决方案除了指定包括补充版本标识符在内的版号外,还可以使用 TargetBuildVersion 键。
Notifications 键
Notifications 键更改默认通知行为以仅在强制执行时间和重新启动倒计时前 1 小时显示通知(默认为 True 且非必需)。
键 | 类型 | “合并”行为 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 布尔值 | 值的逻辑“与”运算 | 如果为 true,设备会显示所有软件更新强制执行通知。 如果为 false,设备仅会在强制执行截止时间前 1 小时显示触发的通知,以及重新启动倒计时通知。 | ||||||||
管理 Beta 版软件更新
在未被监督的 iPhone 或 iPad 设备上,只有 OfferPrograms 数组可用于允许用户手动注册组织所订阅的 Beta 版计划。Beta 版词典提供以下键(非必需):
键 | 类型 | 默认 | “合并”行为 | 描述 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 枚举 | 允许 | 列表中的最后一个值:Allowed、AlwaysOn、AlwaysOff | 指定用户可否在软件更新设置用户界面中控制 Beta 版计划注册:
| |||||||
| 数组 | — | 所有值的唯一并集 | 设备上所允许的 Beta 版计划数组。只有 | |||||||
| 词典 | — | 应用第一个配置 | 设备自动在此 Beta 版计划中注册。只有 | |||||||
除了发送计划名称外,OfferPrograms 和 RequireProgram 选项需要向设备发送 Beta 版计划的令牌。此令牌会被 Apple 用于验证是否符合资格和接收更新后的软件更新配置。
若要允许用户使用其个人 Apple 账户或管理式 Apple 账户注册,MDM 解决方案可将 ProgramEnrollment 键设为 Allowed。这可允许用户注册适用于其账户的任何计划,还能注册 OfferPrograms 数组指定的任何 Beta 版计划。OfferPrograms 数组中的每个计划词典必须由以下键(全为字符串,全部必需)组成:
键 | 描述 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Beta 版计划的人类可读描述。 | ||||||||||
| 作为组织的 MDM 解决方案一部分的播种服务令牌。此令牌用于将设备在相应的 Beta 版计划中注册。 | ||||||||||
如果组织想要允许用户无需登录即可参与,可将 ProgramEnrollment 键设为 AlwaysOn。在这种情况下,会向用户提供 OfferPrograms 数组中列出的所有计划。组织还可以使用双管齐下的方式自动在 Beta 版计划中注册设备:将 ProgramEnrollment 设为 AlwaysOn,并通过 RequireProgram 词典定义设备必须注册的 Beta 版计划。RequireProgram 词典需要以下键(全为字符串):
键 | 描述 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Beta 版计划的人类可读描述。 | ||||||||||
| 作为组织的 MDM 解决方案一部分的播种服务令牌。此令牌用于将设备在相应的 Beta 版计划中注册。 | ||||||||||
如果组织想要阻止用户注册,其可将 ProgramEnrollment 键设为 AlwaysOff。这还会将设备从已经手动或自动注册的任何 Beta 版计划中取消注册。
【注】每个 MDM 供应商对这些设置的执行情况不同。若要了解各种“软件更新”设置如何应用到设备和用户,请参阅 MDM 供应商文稿。