www.SAMURAJ-cz.com 

24.04.2024 Jiří Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Microsoft Intune - aktualizace zařízení s macOS

Sobota, 08.04.2023 12:56 | Samuraj - Petr Bouška |
Pomocí Intune můžeme řídit instalaci aktualizací na macOS zařízeních (ovšem o dost omezeněji než na Windows). Můžeme vytvářet profily pro aktualizační politiky, které nasazují aktualizace na zařízení, a/nebo konfigurovat nastavení aktualizací operačního systému. Může jít o majoritní a minoritní aktualizace operačního systému, aktualizace aplikací, konfiguračních souborů nebo firmwaru.

Update policy vs. Configuration profiles (Software Update)

Popis v dokumentaci není zrovna vyčerpávající a řada věcí mi není jasných. Na internetu se mi nepovedlo nalézt více informací. Praktické testování se provádí těžko, protože aktualizace na macOS nelze odinstalovat, takže složitě vyzkoušíme jiné nastavení.

K dispozici máme dvě obecné možnosti (jak uvádí i dokumentace), které jsou na sobě úplně nezávislé:

  • Update policy – aktualizační politiky, které umožní MDM (Intune) nasazovat softwarové aktualizace na Apple zařízení, nastavujeme jak stahování, instalace a notifikace probíhají pro různé typy aktualizací, také určujeme plán, kdy aktualizace probíhá
  • Configuration profile kategorie Software Update a Restrictions - konfigurace nastavení aktualizací softwaru na zařízení, jak mohou uživatelé ručně (automaticky) pracovat s aktualizacemi pomocí systémového rozhraní
Intune - Microsoft Endpoint Manager admin center - Devices

Můj závěr je, že pomocí konfiguračního profilu můžeme nastavit, jak systém provádí aktualizace nebo je umožňuje ručně provádět uživatelům. Můžeme tak zakázat uživatelům, aby aktualizace prováděli nebo zapnout automatické aktualizace.

Pomocí aktualizační politiky provádíme řízené aktualizace z Intune. Je jedno, jak je nastavený systém, i když je zakázané vyhledávání a instalace aktualizací (nebo jsou zpožděné), tak pomocí politiky se instalace provede.

Pomocí konfiguračního profilu také můžeme nastavit zpoždění viditelnosti aktualizací pro zařízení. Tedy, že uživatel nové aktualizace v systému nevidí, ani když probíhá vyhledání aktualizací. Microsoft uvádí, že můžeme aktualizace otestovat a později nasadit pomocí politiky. Důležité je nastavit politiku, aby neprovedla instalaci dříve. Netuším, jak by se toho dalo docílit, protože pro macOS nejsou k dispozici žádná Workflow, jako pro Windows aktualizace.

Politiky aktualizace zařízení - Update policy for macOS

  • Microsoft Endpoint Manager admin center - Devices - Update policies for macOS

Intune umožňuje spravovat softwarové aktualizace na macOS zařízeních registrovaných do Intune (supervised devices). Je vyžadována minimálně verze macOS 12. Celá problematika je u MS popsána souhrnně na jedné stránce dokumentace.

Microsoft uvádí (tuto informaci nalezneme i u Apple) důležitou poznámku, že zařízení s Apple Silicon (tedy nyní procesory M1 a M2) musí mít Bootstrap Token od MDM pro automatizovanou instalaci aktualizací. V dokumentaci Intune je popis Bootstrap tokens, kde se uvádí, že token se automaticky generuje a uloží do Intune. Informace si můžeme zobrazit řádkovým příkazem v macOS nebo v detailu zařízení v Intune pod Hardware - Bootstrap token escrowed.

Vytvoření profilu

Konfiguraci provádíme vytvořením profilu, který definuje politiky pro aktualizace, a jeho přiřazením na skupinu uživatelů nebo zařízení.

Nastavujeme chování pro různé kategorie aktualizací:

  • Critical updates
  • Firmware updates
  • Configuration file updates
  • All other updates (OS, built-in apps)

Nastavit můžeme různé instalační akce (v závorce jsou Apple názvy akcí):

  • Download and install - stažení nebo instalace podle aktuálního stavu (Default)
  • Download only - pouze stažení (DownloadOnly)
  • Notify only - stažení a upozornění uživatele, takže může provést instalaci (NotifyOnly)
  • Install later - stažení a pozdější instalace (InstallLater)
  • Install immediately - stažení a aktivace odpočtu do restartu 60 vteřin, uživatel v tu dobu může restart odložit (InstallASAP)
  • Not configured - nenastaveno

Zároveň nastavujeme plán aktualizace (Schedule). Ve výchozím stavu nasazuje Intune poslední aktualizace ve chvíli, kdy se zařízení ohlásí (check-in), tedy připojí do Intune (to je standardně každých 8 hodin). Ale můžeme vytvořit týdenní plán s časy začátku a konce v určený den.

Možnosti nastavení jsou:

  • Update at next check-in
  • Update during scheduled time
  • Update outside of scheduled time
Intune - Update policies for macOS

Jak aktualizace probíhají

Jak reálně instalace probíhá při různých nastaveních je (trochu) záhada. Popis instalačních akcí u Microsoft i Apple je naprosto nedostatečný. Microsoft v jedné poznámce uvádí, že Apple MDM neumožňuje donutit zařízení k instalaci aktualizací do určitého času nebo data. Při nastavení Update at next check-in by se měla instalační akce provést při každém ohlášení zařízení (check-in), což je snad to samé jako synchronizace zařízení (Sync), kterou můžeme ručně vyvolat.

V praxi vždy instalace trvá delší dobu (několik synchronizací a možná některé akce na pozadí trvají déle). I když se v Intune monitoringu objeví aktualizace ve stavu Available, tak hned nedojde k instalaci. V prvních testech jsem zkoušel akci Download and install (MacBook s verzí 13.2.1, obrázky jsou níže v kapitole o monitorování).

Zkoušel jsem plán, aby aktualizace probíhala pouze v noci. A i když byl MacBook zapnutý (stav aktualizace Available), tak po dvou nocích aktualizace stále neproběhla (pak jsem přepnul na aktualizaci při ohlášení). Možná je, pro posun do dalšího stavu, nutné ručně provést restart (několikrát se zdálo, že se instalace rozjela po restartu).

Dále jsem zkoušel Notify only (MacBook s verzí 12.6.4). V monitoringu se objevily aktualizace s chybou (Error), stav Command failed.

Intune - Monitor - Software updates - Command failed

Přepnul jsem na Install immediately. Po uplynutí nějakého (delšího) času proběhla instalace macOS, zobrazil se stav Success, a další probíhala Installing. Po dalších několika hodinách se hlásila dokončená i aktualizace Safari.

Intune - Monitor - Software updates - aktualizace Success

Další praktický test proběhl záhy, když se objevila verze macOS 13.3.1, stále nastavena akce Install immediately. Update tentokrát proběhl velmi rychle, Intune ani neukazoval, že je k dispozici nová verze. V aktualizacích na MacBooku bylo vidět, že se stahuje nová verze. Po pár minutách vyskočilo upozornění, že bude proveden restart za 60 vteřin. Po kliknutí se přerušil odpočet a bylo možno ručně provést restart.

macOS - průběh aktualizace OS

Možná je určitým řešením vytvořit více profilů. V prvním profilu se provede stažení aktualizace a případně notifikace uživatele, aby provedl instalaci ručně. Druhý profil je omezený na určitý den a čas a provede instalaci / restart. Apple má v seznamu akcí také InstallForceRestart, kterou patrně Intune nepodporuje.

Snažil jsem se dohledat informace na internetu, ale moc toho není, ani nikde u Apple. Narazil jsem na zmínku, že pro majoritní aktualizace macOS je jediná kompatibilní (full installer) akce InstallASAP, ostatní mohou způsobit chybu při odesílání příkazu (to by mohlo odpovídat mému testu, ale dostával jsem chybu i pro jiné typy aktualizací). Další zmínky byly o InstallLater. Třeba že se instalace provede ve chvíli, kdy je zařízení nevyužívané. Nebo že se společně využívá hodnota MaxUserDeferrals (Intune asi opět nepodporuje), což určuje počet, kolikrát může uživatel instalaci odložit.

Monitorování aktualizací

  • Microsoft Endpoint Manager admin center - Devices - Monitor - Installation status for macOS devices

Nalezneme zde seznam zařízení (můžeme rozklikávat a dostat se do větších detailů), na která se aplikuje profil Update policy. Microsoft v dokumentaci uvádí, že se zde zobrazují pouze zařízení, kde instalace selhala, protože macOS vrací pouze informace o chybě. V praxi je to naštěstí lepší a jsou zde veškerá zařízení.

Údaje nalezneme také v detailu jednotlivých zařízení pod Software updates (kam se můžeme prokliknout i ze seznamu monitoringu).

Intune - Monitor - Installation status for macOS devices Intune - Monitor - Software updates pro zařízení Intune - Monitor - Software updates - stav průběhu aktualizace

Konfigurace nastavení aktualizací softwaru - Configuration profiles

  • Microsoft Endpoint Manager admin center - Devices - Configuration profiles

Chování aktualizací v systému můžeme nastavit pomocí konfiguračního profilu z katalogu nastavení. Vytvoříme profil pro platformu macOS, typu Settings catalog.

K dispozici jsou dvě kategorie:

  • Software Update - umožňuje nastavit automatické aktualizace a zabrání uživatelům ve změně
    • Allow Pre Release Installation
    • Automatic Check Enabled
    • Automatic Download
    • Automatically Install App Updates
    • Automatically Install macOS Updates
    • Config Data Install
    • Critical Update Install
    • Restrict Software Update Require Admin To Install
  • Restrictions - umožňuje zpozdit viditelnost aktualizací pro zařízení, při zapnutí (Force) o 30 dní, případně můžeme nastavit počet dní (Enforced)
    • Enforced Software Update Delay
    • Enforced Software Update Major OS Deferred Install Delay
    • Enforced Software Update Non OS Deferred Install Delay
    • Enforced Software Update Minor OS Deferred Install Delay
    • Force Delayed App Software Updates
    • Force Delayed Major Software Updates
    • Force Delayed Software Updates
Intune - Configuration profiles - Software Update

Nastavení v operačním systému

Nastavení aktualizací a provedení updatu se na macOS provádí v System Settings - General - Software Update.

macOS - System Settings - General - Software Update

Pokud vytvoříme konfiguraci kategorie Software Update, tak se zobrazí informace, že aktualizace jsou spravovány firmou. Nastavení se provede podle konfigurace a není možno změnit.

macOS - System Settings - General - Software Update spravováno Intune
zobrazeno: 1401krát | Komentáře [0]

Autor:

Související články:

Microsoft Intune

Cloudové řešení pro správu firemních i soukromých zařízení s různým operačním systémem. Podporuje Mobile Device Management (MDM) a Mobile Application Management (MAM). Umožňuje správu (přístupu) uživatelů, zařízení a aplikací.

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Azure AD a hostované služby Microsoft 365 / Office 365.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách