使用 Intune 管理 macOS 软件更新

在本指南中，我将向您展示如何使用 Intune 管理 macOS 软件更新。您可以使用 Microsoft Intune 管理注册为受监管设备的 macOS 设备的软件更新。

您的设置中是否有监督 macOS 12 及更高版本的设备？如果是这种情况，您可以使用 Intune 管理软件更新。使用其中一种自动设备注册 (ADE) 方法（Apple 商务管理或 Apple 校园教务管理）进行注册的 macOS 用户将被视为受监管。

现在，您可以使用 Intune 策略来管理自 Intune 服务版本 2210 起使用自动设备注册注册的设备的 macOS 软件更新。Microsoft 不断在每个版本中添加其他功能，以便更轻松地为 macOS 设备部署更新。

在大多数组织中，严格禁止用户在其 macOS 设备上安装更新。特别是如果您希望所有 macOS 设备运行相同版本。与 Windows 设备一样，Intune 允许你为 macOS 设备配置软件更新策略并管理更新部署。部署 macOS 软件更新策略后，您可以监控设备上的更新安装失败。

先决条件

下面列出了使用 Intune 管理 macOS 软件更新所需的一些先决条件。

1. 要使用 Intune 管理 macOS 更新，您需要 macOS 12 及更高版本（受监督）。在 macOS 12.5 版本之前，设备可能会在安装最新更新之前下载并安装其他更新。
2. 在管理更新之前，您必须将 macOS 设备注册到 Intune。
3. 根据 Microsoft 的说法，默认情况下，设备大约每 8 小时检查一次 Intune。如果通过更新策略有可用更新，则设备会下载该更新。然后，设备会在您的计划配置中下次签入时安装更新。

Intune 中对 macOS 软件更新的支持

通过 Intune 软件更新策略，您可以管理和配置 macOS 设备的以下更新类型：

• 远程管理当以下类型的更新适用于 macOS 时应如何进行下载、安装和通知：

  • 重要更新
• 固件升级
• 配置文件更新
• 所有其他更新（操作系统、内置应用程序）

使用 Intune 管理 macOS 软件更新

让我们逐步完成使用 Intune 管理 macOS 软件更新的步骤。我们将首先在 Intune 中创建新的软件更新策略来管理 macOS 的更新。这些设置决定软件更新的部署方式和时间。此配置文件不会阻止用户手动更新操作系统。请注意，更新仅适用于受监管的设备。

使用以下步骤创建 macOS 软件更新策略：

• 登录 Microsoft Intune 管理中心。
• 导航到设备 > 更新 macOS 策略，然后选择创建配置文件。

在创建配置文件窗格的“基本”选项卡中输入配置文件的名称。添加有关配置文件的简短描述。单击下一步。

例如，您可以输入以下信息：

• 名称：macOS 软件更新政策
• 描述：管理 macOS 设备的软件更新。适用于 macOS 12 及更高版本（受监督）。

通过“更新策略设置”选项卡，您可以控制在 macOS 设备上安装软件更新的方式和时间。这是必须根据您的需求进行配置的关键步骤。换句话说，配置因组织而异。

更新策略行为设置

更新策略行为设置允许您选择每种更新类型的下载、安装和通知的发生方式。对于关键、固件、配置文件和所有其他更新（操作系统、内置应用程序），可以为每个更新配置以下安装操作：

• 下载并安装：根据当前状态下载或安装更新。
• 仅下载：下载软件更新而不安装。
• 立即安装：下载软件更新并触发重启倒计时通知。
• 仅通知：下载软件更新并通过 App Store 通知用户。
• 稍后安装：下载软件更新并稍后安装。
• 未配置：未对软件更新采取任何操作。

在下面的示例中，在我们的 macOS 软件更新策略中配置了以下更新策略行为设置。

• 重要更新：将其设置为立即安装
• 固件更新：仅通知
• 配置文件更新：仅通知
• 所有其他更新（操作系统、内置应用）：立即安装

更新策略计划设置

将更新策略分配给设备后，Intune 会在设备签入时自动部署最新更新。相反，您可以制定包含自定义开始和结束时间的每周计划。如果您在计划时间之外进行更新，Intune 将在计划时间到期之前不会部署更新。

• 下次签入时更新：设备下次签入 Intune 时会安装更新。这个选项是最简单的，没有额外的配置。
• 在预定时间更新：您可以配置一个或多个时间窗口，在该时间窗口内签入时将安装更新。
• 在计划时间之外进行更新：您可以配置一个或多个时间窗口，在此期间，签入时不会安装更新。

在下面的示例中，在我们的 macOS 软件更新策略中配置了以下更新策略计划设置。

• 日程类型：下次入住时更新

注意：如果您没有配置开始或结束时间，则配置不会造成任何限制，并且可以随时安装更新。

配置更新策略设置后，单击下一步。

在分配选项卡上，添加要部署 macOS 软件更新策略的 Azure AD 组。建议您创建一个由一些可用于测试更新部署的 macOS 设备组成的试点组。单击下一步。

在查看 + 创建选项卡上，查看 macOS 软件更新策略设置，然后在准备好保存 macOS 更新策略时选择创建。

您的新策略将显示在 macOS 更新策略列表中。您必须等待策略应用到目标组，一旦设备签入 Intune 服务，它们将收到设置。您还可以在 Mac 设备上的公司门户中运行“检查状态”，以从 Intune 检索最新策略。

在 Intune 中监视 macOS 更新安装失败

如果 macOS 软件更新在某些设备上失败，您可以在 Intune 门户中监控它们。为此，请在 Microsoft Intune 管理中心中转到设备>监控> 软件更新 > macOS 设备的安装状态 。在这里，您可以查看 macOS 设备的软件更新安装状态。

Intune 显示应用了更新策略的受监督 macOS 设备的列表。由于 macOS 设备仅返回有关安装失败的信息，因此该列表不包括最新且运行状况良好的设备。

列表中每个设备的安装状态显示设备返回的错误。在 macOS 设备的安装状态页面上，选择筛选器，然后展开安装状态的下拉列表以查看潜在安装状态值的列表。

结论

在为 macOS 设备部署软件更新时，Microsoft Intune 简化了管理员的任务。在 macOS 受监督的设备上，您可以指定应用更新的方式和时间。除了 macOS 软件更新策略之外，Intune 设置目录还允许管理员设置其他 macOS 软件更新设置。使用本文中介绍的信息，您现在应该能够使用 Intune 管理 macOS 软件更新。请在评论部分提出任何问题。