管理您组织中的软件更新

我叫张露西 是安装与软件更新团队的 一名软件工程师 我今天会说明macOS iOS、iPadOS的 管理软件的更新 软件更新对于使用Apple产品的 每个人都至关重要 更新带来新的安全提升 例如mac OS Big Sur的“公证” 和Sealed System Volume 它们启用所有最新功能 而且或许最重要的是 更新能让你获得所有新的表情符号 我们的平台使你能轻松更新设备 事实上 过去四年推出的iPhone中 有86%使用iOS 14 不过 在管理环境中 你需要对这个流程有更多控制权 管理一系列设备时 你会想要把它们维持在最新状态 但你发布更新之前需要时间测试更新 来确保OS跟你的软件兼容 测试完成之后 你会想要确保 尽快安装更新 同时尽量降低对用户的干扰 在这场说明会中 我们首先会探索 一些项目和限制 它们让你能够测试 beta版及新发布的软件更新 接着是用于部署更新的MDM命令 最后 我等不及要告诉你们 一个新方法 让你能确保用户更新到 你已经准备好支持的最新版本 我们先从测试更新开始吧 当Apple发布一个beta版OS时 你在OS发布之前 会有时间和工具在你的环境中测试它 AppleSeed for IT帮助你 在新的Apple软件 是beta版时访问和测试它 任何来自Apple School Manager 或Apple Business Manager中 管理的非学生Apple ID 都可以参与这个项目 这让你能访问发布前的Apple软件 并在你的环境中进行测试 这个项目也包含详细的测试计划 以及提供反馈的方式 当更新公开发布时 你可能依然需要时间进行测试 而且你还不想要把更新 提供给所有用户 在这种状况下 你可以延期 延期能避免受监管的设备 提供软件更新给用户 直到Apple发布这些更新后的 指定时间段到期为止 当你申请延期限制时 默认延迟时间是更新发布后的30天 你也可以从1天到90天之间 指定一个自定义值 当一项更新已经发布够久 指定的延迟即将到期时 这项更新就会提供给用户 当作标准软件更新通知 与更新流程的一部分 这些限制会让你能更细致地控制 系统偏好里的软件更新界面 延迟更新限制只会影响 软件更新界面 不会改变MDM命令的行为 即使设置了一项限制 MDM依然可以 把特定更新发送给设备 对于iPhone、iPad和Apple TV来说 延迟软件更新 适用于iOS 11.3以上的版本 iPadOS 13.1以上的版本 以及tvOS 12.2以上的版本 当你延迟更新时 大更新和小更新的 延期窗口是相同的 对于Mac电脑 延迟软件更新 适用于macOS 10.13以上的版本 在macOS 10.13以上的版本 管理员如今能够选择 把大更新延迟的时间比小更新更长 如此一来 用户依然能受益于 重要安全更新 同时管理员会努力 批准最新的大更新在他们的 环境下产生作用 这些是你可以在配置文件中设置 来安装在Mac电脑上的密钥 使用 forceDelayedMajorSoftwareUpdates 密钥来延迟一项大更新 用这个密钥 你依然能接收OS 和安全的小更新 同时延迟OS的大更新 有时你可能想要单独 延迟一项小更新 你就可以使用 forceDelayedSoftwareUpdates密钥 如果想要单独延迟 一项补充更新 你可以使用 forceDelayedAppSoftwareUpdates 密钥 如果启用了一种延迟类型 却没有设置相应的 延迟时间段 我们会回退到 使用旧的密钥 ManagedDeferredInstallDelay 有延期限制在执行时 这就是软件更新偏好控制面板 在macOS上的样子 我们来探索延期的作业流程吧 回到时间线 你现在已经延迟 一项更新 并继续测试新的OS 在你的环境下的兼容性 当你确认OS并完成测试之后 你就准备好把它推送给用户了 你希望设备在用户准备好的时候更新 而且更新不会干扰用户的工作流 所以我们来探索部署更新吧 在正确设备上安装正确更新 需要几个步骤 而且使用macOS Monterey时 macOS和iOS之间 比以往都要更加平等 为所有平台部署更新的第一步 是检查更新及确认设备资格 接下来说明在macOS Monterey之前 这一步在Mac上的操作 可用的OS更新只能 在用户的装置上进行评估 你会使用指令 ScheduleOSUpdateScan 来告诉Mac向服务器查询 可用的OS更新 然后评估更新 来确定资格 当扫描结束并传回MDM服务器之后 MDM就能选择一项更新来部署 不过 Apple提供 “Apple软件查找服务” 这项服务提供跨平台 可用OS版本的列表 这里我们用iOS设备来呈现 你可能已经在使用 iPhone和iPad的信息提要 来减少Mac的ScheduleOSUpdateScan 产生的来回信息传递 对于iOS MDM解决方案会使用Apple 软件查找服务来注意可用更新 以便直接把指令推送给设备 以下是操作流程 首先 MDM服务器能从 Apple软件查找服务 获得可用更新列表 例如12.1或12.2 当你准备部署一项更新 MDM服务器 会把更新版本发送到设备 接着 设备会连接软件更新服务器 来验证更新符合条件 并开始下载及安装更新 macOS Monterey的新功能 是我们为macOS和iOS统一了这个流程 我们现在支持一个 新的DeviceInformation查询密钥 称为SoftwareUpdateModelID 它会将iOS和macOS的硬件模型字符串 返回给MDM Apple软件查找服务会包含 适用于macOS的硬件标识符 使MDM服务器能够确认更新的适用性 又不需要AvailableOSUpdates指令 就像在iOS上一样 MDM也将能够 确认更新适用性 方法是比较 DeviceInformation的结果 跟JSON提要中列出的设备ID 另外 直到现在 macOS已经忽视 “ProductVersion”密钥 改用“ProductKey”了 从macOS Monterey开始 “ProductVersion”密钥 会在macOS上受到支持 iOS已经使用这个密钥来指定更新 为了兼容性 如果你同时指定 “ProductVersion” 和“ProductKey” 那么“ProductKey”会被使用 如果设备无法找到 适合那个版本的更新 它会发送适当的响应 只要你之前收集了 设备的受支持设备ID 这就会免除OS小更新的往返流程 只要设备受到监管 MDM管理员 就能自动安装和授权macOS、iOS 及iPadOS的软件更新 在macOS 11以上的版本 用“设备登记”或“自动设备登记” 来登记的所有Mac电脑都受到监管 对于iOS和iPadOS 用户将需要 输入密码来进行更新 搭载Apple Silicon的Mac电脑 引进了“所有权”的概念 所有权可以粗略定义为 首先声称拥有Mac 以便为了 供自己使用而对它进行配置的用户 并且与真正的合法所有权 或监管链无关 所有权定义了谁有权更改 特定macOS安装的启动安全策略 在Apple Silicon上启动安全策略 定义了关于哪些版本的macOS 能在Mac电脑上启动的限制 以及使用Bootstrap令牌 进行自动更新的许可 macOS需要认证来进行更新 对于搭载Apple Silicon的Mac电脑 认证需要用户密码 或MDM Bootstrap令牌 通过系统偏好设置进行的用户启动 互动式更新会需要用户密码 自动非互动式更新需要 MDM Bootstrap令牌 这类更新需要macOS 11.2以上的版本 而且安装的更新必须经过Apple签署 macOS Monterey的新功能是 我们已经开始支持 用于MDM启动的 稍后安装流的Bootstrap令牌 这代表Apple Silicon设备 可以排定更新时间 并稍后等到设备没在使用时 再进行更新 你的用户会感谢你既更新他们的设备 同时又不干扰他们的工作流 他们可以在隔天醒来时 使用已更新的设备 如果你已经支持Bootstrap令牌 当你在ScheduleOSUpdate 使用“稍后安装”操作时 这项功能会直接开始运作 只要MDM知道哪个更新适用于设备 ScheduleOSUpdate指令 就会用来把更新 部署到macOS、iOS和iPadOS 请注意 MDM指令可用于 在开启延期窗口期间或之后安装更新 使用ScheduleOSUpdate指令时 有几个选项 有个必须设置的选项是“安装操作” 它的值会明显影响 更新的行为 InstallASAP安装操作 是无用户macOS设备的主要更新机制 InstallASAP把Bootstrap令牌 用于搭载Apple Silicon的 Mac电脑上的认证 这个动作会立即进行 还有一个选项给用户取消更新 请注意 除非使用 InstallForceResart选项 否则InstallASAP指令 不会自动关闭正在使用中的应用程序 DownloadOnly可用于 用户和无用户设备 在安装时间之前 在后台下载更新 NotifyOnly可用于提醒用户 有个安装操作 这些指令都不会启动安装 InstallLater让你能排定 一个“今晚安装”的更新 设备会选择一个时间区段 通常在凌晨2点到4点之间 这是依据机器学习 利用设备最少使用的时间等条件 来选择安装时间 接着设备会排定在那个时间区段 进行更新 只要你有把设备 连接电源就行 让我们来看看通知吧 因为有InstallASAP指令或默认指令 用户能获得重启倒数的通知 用户可以在通知选项中 选择取消重启 在macOS Monterey 当你使用InstallLater时 用户会得到这个通知 我们来更仔细地检视它吧 这个通知显示更新 会试图在当晚安装 用户会得到提醒 设备必须 在稍后更新进行时接上电源

对于iOS或iPadOS设备 Default是主要的更新机制 DownloadOnly可用于用户 及无用户设备在安装时间之前 在背景安装下载的更新 这是用户会看到的画面 无密码保护的设备会在MDM服务器 发送指令之后立即安装这个更新版本 有密码保护的设备则需要 稍微不同的流程 只要设备接收到来自MDM的安装指令 我们就会排定安装提醒 在下一次解锁时显示 这让用户可以选择“立即安装” 或“今晚安装” 或“稍后提醒我” 在iOS上 这个显示给用户的 首次安装提醒 让你能够选择“立即安装” “稍后”或“详细信息” 后续显示的提醒会告知更新 已准备好进行安装 比如“iOS 15.0已准备好进行安装” 而提供的选项则是 “立即安装”或“稍后” 在先前画面上点击“稍后” 会显示密码提示 下方有“稍后提醒我”选项 MDM服务器也可以 把一项更新标示为“必须” 这会让用户选择“稍后提醒我” 最多三次 用户第三次点击“稍后提醒我”之后 安装通知会在每一次 用户点击主屏幕时显示 “稍后提醒我”选项也会消失 让我们回到时间线 现在我们已经准备好 安装更新 对于无用户设备 你可以使用 InstallForceRestart选项 和ScheduleOSUpdate 这些设备会硬重启来进行更新 对于有用户的设备 只要你发送安装指令 你就必须依赖用户来进行更新 但现在不是了 我很高兴告诉你们我们为macOS 推出的一项新功能 当管理员的更新延期时间段结束之后 你会想要确保 在你提供更新给用户之后 更新会被迅速安装 你不希望用户继续取消 或延迟更新 你需要一个方法来强制执行更新 在macOS Monterey 你现在可以 更好地控制InstallLater策略 来强制执行更新 你可以指定设备在强制执行更新之前 应该提示安装的次数 由MaxUserDeferrals密钥 来定义这个次数 只要已经达到最大延迟次数 这个MaxUserDeferrals密钥 就意味着现有密钥 InstallForceRestart 当你强制执行最大延迟次数时 用户会收到通知显示 强制更新进行之前 还剩下多少延迟次数 要改变用户最大延迟次数 你只需要发布一项 新的InstallLater指令 这就是用户会见到的画面 当你设置MaxUserDeferrals值时 通知会显示强制更新之前 剩余的延迟次数 更新被排定在今晚进行 但会提供选项给用户 他们可以选择“明天提醒我” 这会再次延迟更新 并减少 剩余的延迟次数 他们可以立即安装更新 或者可以等到今晚尝试更新 如果用户没有任何动作 更新就会在当晚尝试进行 达到用户最大延迟次数时 用户会收到通知 显示这项更新将会强制执行 这代表设备会重启来进行更新 不论用户是否仍在使用设备都一样 通过这些新变化 管理员能更好地控制 macOS强制执行更新 并确保 设备及时更新

关于管理软件更新 我还想要告诉你一件事 从今年开始 iOS和iPadOS会让用户 能在“设置”app中在两个 软件更新版本之间做选择 比如说 你可以在下一个 重大OS发布后 就尽快更新 获得最新功能 和最完整的安全更新 或者你也可以继续使用 当前的重大版本 同时继续获得重要的安全更新 直到你准备好安装iOS或iPadOS的 下一个重大版本 “设定”指令上的一个新选项 会让你控制 OS更新呈现给用户的信息 你指定这个选项的方法是 提供一个SoftwareUpdateSettings 字典 它有一个密钥称为 RecommendationCadence 这个密钥可以有三个值 如果你把RecommendationCadence 设置为0 显示的画面就是这样 这是默认画面 如果没有执行 任何MDM限制 你就会看到这个 同时提供大更新 和小更新版本 这是你把RecommendationCadence 设置为1时会显示的画面 如果有两种软件更新版本可用 设备会显示较低版本编号的 软件更新版本 这是你把RecommendationCadence 设置为2时会显示的画面 如果有两种软件更新版本可用 设备会显示较高版本编号的 软件更新版本 请注意 如果用现有的 enforceSoftwareDelayUpdate密钥 设置更新延期 设备会考虑到这一点 并通过RecommendationCadence 进行过滤 两种更新选项最终会汇集在一起

回顾一下 在macOS上 我们现在将会支持使用OS版本 来部署更新 这样MDM就可以决定 设备需要什么更新 并及时推送这些更新 我们也使用Bootstrap令牌 把搭载Apple Silicon的Mac电脑上的 InstallLater流自动化 我们会让MDM能够用 MaxUserDeferrals强制执行更新 使用户能及时得知 更新发生的时间 并把更新排定在 最不容易干扰用户工作流的时间 最后 在iOS上 我们已经添加支持 来管理“设置”中显示的更新版本 我们期待你们获得这种额外的控制权 并为mac OS Monterey 和iOS 15的用户 提供绝佳的更新体验 谢谢你们 希望你们在WWDC过得愉快 [打击乐]