Installieren und Durchsetzen von Softwareupdates für Apple-Geräte
Mit der Verwendung der deklarativen Geräteverwaltung können Organisationen verschiedene Aspekte des Softwareupdatevorgangs konfigurieren. Dies umfasst die Verwaltung von verfügbaren Softwareupdates, Durchsetzung von Softwareupdates, die Registrierung von Geräten bei Beta-Programmen und mehr.
Voraussetzen einer Mindestversion während der Registrierung
Seit iOS 17, iPadOS 17 und macOS 14 können MDM-Lösungen eine Mindestversion für das Betriebssystem während der automatischen Geräteregistrierung durchsetzen. Wenn das Gerät nicht über die von der MDM-Lösung (Mobile Device Management) erwarteten Mindestversion verfügt, werden Benutzer:innen durch ein Update geführt, bevor der Systemassistent abgeschlossen werden kann. Der gleiche Prozess geschieht automatisch, wenn der Vorgang mit der Option „Automatisch fortfahren“ durchgeführt wird. Dadurch ist sichergestellt, dass organisationseigene Geräte vor der Inbetriebnahme über die nötige Betriebssystemversion verfügen.
Verwalten der Verfügbarkeit von Softwareupdates
Unter Umständen möchten Organisationen steuern, auf welche Versionen die Benutzer:innen ihre Geräte aktualisieren können. Diese Steuerung kann beispielsweise verwendet werden, um Verifizierungen eines Updates mit einer Testgruppe durchzuführen, bevor alle Benutzer:innen Zugang zur Produktionsversion haben, oder um verschiedene Verzögerungen bei einzelnen Gruppen anzuwenden, damit neue Updates erst nach und nach eingeführt werden.
Zeitbasierte Verzögerungen
Betreute Geräte können daran gehindert werden, Benutzer:innen drahtlose Softwareupdates anzubieten, bis ein bestimmter Zeitraum verstrichen ist, nachdem Apple dieses Update für die Öffentlichkeit verfügbar gemacht hat. Angenommen, mehrere iPhone-Geräte verwenden iOS 17.3 und es wurde festgelegt, dass eine Softwareupdatekonfiguration für 30 Tage aufgeschoben wird. In diesem Szenario wird Benutzer:innen iOS 17.4 auf ihren verwalteten Geräten 30 Tage nach dem Veröffentlichungsdatum von iOS 17.4 angeboten.
Als Teil der Konfiguration können Organisationen eine eigene Verzögerungsdauer zwischen 1 und 90 Tagen festlegen. In iOS und iPadOS wird die Verzögerung sowohl auf Betriebssytemupdates als auch auf Betriebssystemupgrades angewendet. In macOS können sie für Betriebssystemupdates und -upgrades sowie Updates, die nicht das Betriebssystem betreffen, unterschiedliche Verzögerungsdauern festlegen. Updates, die nicht das Betriebssystem betreffen, sind unter anderem Updates für Safari, XProtect, Druckertreiber und Xcode-Befehlszeilenprogramme. In macOS kann beispielsweise eine eigens festgelegte Verzögerung verwendet werden, um ein Softwareupgrade länger als ein Softwareupdate zu vertagen.
Hinweis: Drahtlose Softwareupdates stehen üblicherweise für 180 Tage nach ihrem ursprünglichen Veröffentlichungsdatum zu Verfügung, um sicherzustellen, dass ein Update für verwaltete Geräte mit dem höchsten Verzögerungswert immer verfügbar ist.
Empfohlene Kadenz für iOS und iPadOS
Abgesehen von der Festlegung zeitbasierter Verzögerungen können Organisationen außerdem definieren, ob Benutzer:innen von betreuten iPhones oder iPads die Option erhalten, auf eine neuere Hauptversion zu aktualisieren, oder die aktuelle Version weiter verwenden und zusätzlich kleinere Updates erhalten, auch nachdem ein Upgrade verfügbar ist.
Für ein iPhone mit iOS 17.6 kann eine der folgenden drei Optionen verwendet werden:
Benutzer:innen werden nur zusätzliche Updates für iOS 17 angeboten.
Benutzer:innen wird nur das Upgrade auf iOS 18 angeboten.
Benutzer:innen die Auswahl erlauben: zusätzliche Updates für iOS 17 (z. B. iOS 17.7) oder ein Upgrade auf iOS 18.
Die erste Option ist nur für einen bestimmten Zeitraum verfügbar und erlaubt Benutzer:innen von sämtlichen wichtigen Sicherheitsupdates zu profitieren, während der Testvorgang für die Hauptversion für eine Produktionsumgebung abgeschlossen wird.
In Verbindung mit Verzögerungen kann auch eine empfohlene Kadenz verwendet werden. Im oben genannten Beispiel könnte diese dazu verwendet werden, Geräte auf dem Stand von iOS 17 zu halten, während Softwareupdates (wie etwa iOS 17.7) nur für eine festlegte Zeitdauer aufgeschoben werden.
Automatisches Installieren von Softwareupdates
In iOS 18, iPadOS 18 und macOS 14 (oder neuer) können Organisationen das Verhalten automatischer Softwareupdates auf betreuten Geräte verwalten.
Automatische Softwareupdates (keine Upgrades)
Für den Download und die Vorbereitung automatischer Softwareupdates sind die folgenden Konfigurationsauswahlmöglichkeiten verfügbar:
Benutzer:innen wählen, ob automatische Downloads aktiviert werden.
Downloads automatischer Updates werden deaktiviert.
Downloads automatischer Updates werden aktiviert.
Für die Installation automatischer Softwareupdates- und upgrades sind die folgenden Konfigurationsauswahlmöglichkeiten verfügbar:
Benutzer:innen wählen, ob die automatische Update-Installation aktiviert wird.
Automatische Update-Installationen sind deaktiviert.
Automatische Update-Installationen sind aktiviert.
Hinweis: Für diese Option müssen automatische Downloads aktiviert sein.
Diese Auswahlmöglichkeiten bieten detaillierte Steuerungen, damit Organisationen die für sie geeignetste Herangehensweise an automatische Softwareupdates definieren können.
In macOS gibt es eine zusätzliche Einstellung mit den gleichen drei Konfigurationsoptionen für Sicherheitsupdates, einschließlich Updates für XProtect, Gatekeeper und Systemdatendateien. Weitere Informationen findest du im Apple Support-Artikel Informationen zu Hintergrundupdates in macOS.
Automatische Sicherheitsmaßnahmen
Sicherheitsmaßnahmen halten sich nicht an verwaltete Softwareupdateaufschübe. Da sie sie nur auf die neuesten kleineren Betriebssystemversionen angewendet werden, wird die Sicherheitsmaßnahme ebenfalls aufgeschoben, wenn dieses Update aufgeschoben wird.
Organisationen können definieren, ob Sicherheitsmaßnahmen automatisch angewendet werden und spezifizieren, ob Benutzer:innen diese nach ihrer Anwendung wieder entfernen dürfen.
Anfordern einer Autorisierung durch eine:n Admin in macOS
Organisationen können das Standardverhalten ändern, sodass eine Autorisierung von lokalen Admins erforderlich ist, um ein Softwareupdate zu installieren. Dies kann zum Beispiel bei Einsatzmodellen verwendet werden, bei denen ein Gerät zwischen mehreren Benutzer:innen geteilt wird, um zu beschränken, wer ein Update durchführen kann.
Erzwingen von Softwareupdates
Organisationen können bestimmte Softwareupdates zu einer festgelegten Uhrzeit erzwingen, unabhängig davon, ob Verzögerungen konfiguriert wurden oder die automatische Installation von schnellen Sicherheitsmaßnahmen deaktiviert wurde. Dies stellt sicher, dass verwaltete Geräte ab einem bestimmten Datum und einer bestimmten Uhrzeit eine festgelegte Version verwenden, während den Benutzer:innen aber selbst überlassen bleibt, wann genau sie das Update durchführen wollen (bereits vor dem Durchsetzungsdatum).
Das Datum und die Uhrzeit der Durchsetzung entsprechen der lokalen Zeitzone des Geräts. Dies sorgt dafür, dass die gleiche Konfiguration in verschiedenen Regionen angewendet werden kann. Ist das Durchsetzungsdatum beispielsweise für 18 Uhr angesetzt, versucht das Gerät, um diese Uhrzeit am festgelegten Datum in seiner örtlichen Zeitzone das Update durchzuführen.
Wenn ein Softwareupdate angekündigt ist, werden Benutzer:innen über die dafür geltende Frist informiert:
In den Einstellungen (iOS und iPadOS) und den Systemeinstellungen (macOS)
In einer Mitteilung
Abhängig von der verbliebenen Zeit vor dem Durchsetzungstermin enthält die Mitteilung verschiedene Optionen, die im Folgenden beschrieben werden. Zusätzliche Informationen zum Update können unter dem Link „Weitere Informationen“ eingesehen werden, um gegenüber den Benutzer:innen transparent zu sein und sie über den Prozess auf dem Laufenden zu halten.
Beginnen Benutzer:innen nicht direkt mit der Installation, werden die eingeblendeten Mitteilungen und Optionen abhängig von der verbliebenen Zeit vor dem Durchsetzungsdatum immer häufiger angezeigt. Das soll Benutzer:innen dazu anregen, das Update dann zu installieren, wenn es für sie zeitlich am besten passt. Um sicherzustellen, dass diese Mitteilungen Benutzer:innen angezeigt werden, wird die Funktion „Nicht stören“ für 24 Stunden vor dem Zeitpunkt der Durchsetzung ignoriert.
Alternativ können Organisationen in iOS 18, iPadOS 18 und macOS 15 festlegen, dass Mitteilungen erst eine Stunde vor der Durchsetzungsfrist angezeigt werden und den Countdown für den Neustart anzeigen. Hierdurch wird die Anzahl der Mitteilungen, die auf den Geräten angezeigt werden, reduziert – z. B. wenn sie nicht direkt einem:einer Benutzer:in zugewiesen sind (wie eine Kiosk-Bereitstellung).
Um ein Update in einer Mitteilung oder über die Einstellungen und Systemeinstellungen zu initiieren und zu autorisieren, fordert das System die Benutzer:innen dazu auf, den Code und das Passwort einzugeben.
Wenn Benutzer das Update nicht vor dem lokalen Durchsetzungsdatum installiert haben:
iOS und iPadOS zwingen Benutzer:innen, den Code einzugeben, sofern ein Code festgelegt ist (und er nicht bereits eingegeben wurde).
macOS erzwingt das Beenden aller geöffneten Apps (unabhängig davon, ob Dokumente geöffnet und nicht gesichert sind) und führt bei Bedarf einen Neustart aus.
Auf einem Mac mit Apple Chips verwendet der Mac ein Bootstrap Token, sofern eines verfügbar ist, um das Update zu autorisieren, oder der Mac fordert Benutzer:innen dazu auf, die Anmeldedaten einzugeben.
Um ein Update, ein Upgrade oder eine schnelle Sicherheitsmaßnahme zu erzwingen, muss ein Gerät dieselben Bedingungen erfüllen wie ein Update der gleichen Art, das von Benutzer:innen initiiert wurde.
Ein klarer Vorteil der deklarativen Geräteverwaltung ist die Autonomie der Geräte. Die MDM-Lösung deklariert den gewünschten Zustand und delegiert die Aufgabe an das Gerät selbst, um diesen Zustand zu erreichen, anstatt individuelle Aktionen auszulösen. Ein spezifisches Beispiel für ein solches Verhalten ist die Situation, in der das Durchsetzungsdatum für das Softwareupdate verpasst wurde, weil das Gerät nicht den Anforderungen entsprochen hat. Das Gerät erkennt automatisch, dass der deklarative Status noch nicht erreicht wurde und fährt erst mit dem Prozess fort, wenn es mit dem Internet verbunden ist.
Hierzu lädt das Betriebssystem, wenn nötig, das Update, bereitet es vor und zeigt eine weitere Mitteilung hinsichtlich der überfälligen Installation des Updates an. Darüber hinaus wird innerhalb der nächsten Stunde versucht, das Update zu installieren. Falls der Vorgang erneut aus irgendeinem Grund unterbrochen wird, wird der Vorgang wiederholt, wenn das Gerät zum nächsten Mal eingeschaltet und mit dem Internet verbunden wird.
Durch die deklarative Geräteverwaltung verfügbare Statusberichte können MDM-Lösungen höhere Transparenz über den Status einer Installation erhalten, beispielsweise, ob es wartet, geladen und vorbereitet oder installiert wird. Aussagekräftige Fehlercodes wurden hinzugefügt, falls eine Version nicht angewendet oder nicht erfolgreich abgeschlossen werden konnte. Hierzu gehören beispielsweise Fälle, in denen das Gerät offline, die Batterieladung zu gering oder nicht genügend Speicherplatz verfügbar war.
Aktualisieren von iPadOS auf einem geteilten iPad
Softwareupdates auf geteilten iPad-Geräten können nur drahtlos von der MDM-Lösung initiiert werden, in der das geteilte iPad registriert ist. Falls das Gerät physisch verbunden ist, kann auf einem Mac auch der Finder oder der Apple Configurator verwendet werden.
Benutzer:innen müssen abgemeldet sein, dürfen aber im Cache verbleiben, damit ein Update auf einem geteilten iPad installiert werden kann. Falls die Installation mehr Speicherplatz benötigt, als aktuell verfügbar ist, müssen im Cache zwischengespeicherte Benutzeraccountdaten entfernt werden. Aufgrund der Autonomie der deklarativen Geräteverwaltung versucht ein Gerät so lange ein neues Release zu installieren, bis es erfolgreich ist.
Um Unterbrechungen und Auswirkungen auf Benutzer:innen und das Netzwerk zu minimieren, sollten Updates für ein geteiltes iPad für Nebenzeiten geplant werden.
Weitere findest du unter Updates und Upgrades für iPadOS auf geteilten iPads.