OS更新设备策略
OS Update设备策略允许您部署:
最新的OS更新到监督IOS设备。
操作系统更新设备策略仅适用于在苹果部署计划注册的受监督设备。
最新的操作系统和应用程序更新到Apple Deployment程序注册MacOS设备运行MacOS 10.11.5及更高版本。
最新的操作系统更新监督三星SAFE设备。
对于三星SAFE设备,端点管理发送OS更新策略到安全Hub,然后安全Hub应用该策略到设备。这管理>设备页面显示端点管理何时发送策略以及设备收到策略时。
最新的OS更新到运行Windows 10或Windows 11的监控桌面和平板电脑设备。
您还可以使用“OS Update”策略管理Windows 10(1607及以上版本)或Windows 11的台式机和平板电脑的下发优化设置。交付优化是微软为Windows 10和Windows 11更新提供的点对点客户端更新服务。交付优化的目标是减少更新过程中的带宽问题。通过在多个设备之间共享下载任务来降低带宽。有关更多信息,请参阅微软的文章,为Windows 10更新配置交付优化.
- 最新的OS更新到托管的Android企业设备(Android 7.0和更高版本)。
- 最新的OS更新到Chrome OS设备。
- 指定的操作系统更新文件到Citrix Ready Workspace集线器设备。
重要的:
操作系统更新策略不允许完全禁用更新。若要将更新延迟至90天,请创建限制策略。看到设备限制政策.
要添加或配置此策略,请转至配置>设备策略.有关更多信息,请参见设备策略.
iOS设置
以下设置适用于受监督的iOS设备。
- OS更新选项:这两个选项都下载最新的操作系统更新到监督设备根据OS更新频率.设备提示用户安装更新。用户解锁设备后,提示是可见的。
- 操作系统更新频率:确定端点管理检查和更新设备操作系统的频率。默认为7.天。
- 操作系统的更新版本:指定用于更新受监督的iOS设备的版本。默认为最新版本.
- 最新版本:选择更新到最新的操作系统版本。
- 具体的版本只有:选择要升级到特定的操作系统版本,然后输入版本号。
macOS设置
- 软件更新选项:控制macOS设备如何检查和安装更新。从以下选项中选择:
- 自动安装macOS更新:自动更新下载和安装。
- 如有更新,可下载:更新下载,但需要手动安装。
- 检查更新:检查是否存在更新,但不自动下载或安装更新。
- 不要检查更新:不要检查新的更新,下载更新,或自动安装更新。用户仍然可以手动安装更新。
- 关键的更新:允许自动安装macOS的关键更新。
- 安装xProtect, MRT和GateKeeper自动更新:允许MacOS设备自动为安全软件安装更新。
- 允许安装macOS预发布软件:允许用户安装macOS软件的预发布版本。
- 自动安装App Store应用更新:允许应用程序商店应用程序自动更新。
获取iOS和macOS更新动作的状态
对于iOS和macOS,端点管理不部署控制操作系统更新策略到设备。相反,端点管理使用策略将这些MDM命令发送到设备:
- Schedule OS Update Scan:请求设备对OS更新进行后台扫描。iOS(可选)
- 可用的操作系统更新:查询设备可用的操作系统更新列表。
- Schedule OS Update:设备执行macOS更新、应用程序更新或两者同时执行的请求。因此,设备操作系统决定它何时下载或安装操作系统和应用程序更新。
这管理>设备>设备详细信息(常规)页面显示预定的和可用的OS更新扫描的状态,以及预定的macOS和应用程序更新。
有关更新操作状态的详细信息,请转到管理>设备>设备详细信息(传递组)页面。
有关可用的操作系统更新和最后一次安装尝试等详细信息,请参见管理>设备>设备详细信息(属性)页面。
三星安全设置
三星企业无线固件(E-FOTA),让您确定设备何时更新和使用的固件版本。使用E-FOTA:
- 使用从三星收到的密钥和许可信息创建Samsung MDM License Key设备策略。有关更多信息,请参见三星MDM license关键设备策略.
创建控制操作系统更新设备策略以启用Enterprise Fota。
![设备策略配置屏幕]()
- 控制企业车队联盟:如果启用,三星设备会检查最新的更新并自动安装。禁用后,用户可以检查更新并手动安装。默认为禁用。
- 企业FOTA许可证密钥:选择在检查更新时使用的许可密钥。可以在“Samsung MDM License Key”策略中配置。
Windows桌面和平板电脑设置
- 选择活动小时模式:选择模式,配置操作系统更新的活动时间。您可以指定小时范围或开始和结束时间。选择模式后,会出现更多设置:指定活动小时的最大范围或者活动时间开始和积极的时间结束.没有配置允许Windows在任何时间执行操作系统更新。默认为没有配置.
- 自动更新行为:配置用户设备上Windows更新服务的下载、安装和重启行为。默认为自动安装和重启.
- 下载更新前通知用户:当更新可用时,Windows会通知用户。Windows不会自动下载和安装更新。用户必须启动下载和安装操作。
- 自动安装和通知计划设备重启:Windows在无计量网络上自动下载更新。Windows在自动维护期间安装更新,此时设备不在使用中,也不用电池供电。如果自动维护在两天内不能安装更新,Windows更新会立即安装更新。如果安装需要重启,Windows会提示用户计划重启时间。用户最多有7天的时间来安排重启。7天后,Windows会强制重启设备。允许用户控制启动时间,降低了应用程序在重启时不正常关闭导致意外数据丢失的风险。
- 自动安装和重启:默认设置。Windows在无计量网络上自动下载更新。Windows在自动维护期间安装更新,此时设备不在使用中,也不用电池供电。如果自动维护在两天内不能安装更新,Windows更新会立即安装更新。如果安装过程中需要重启,Windows会在设备处于非活动状态时自动重启设备。
- 自动安装和重新启动在指定的时间:当您选择此选项时,会出现更多设置,以便您可以指定日期和时间。默认是每天凌晨3点。在指定的时间自动安装,并在15分钟倒计时后重新启动设备。当Windows准备重新启动时,登录用户可以中断15分钟的倒计时来延迟重新启动。
- 自动安装和重新启动,无需终端用户控制:Windows在无计量网络上自动下载更新。Windows在自动维护期间安装更新,此时设备不在使用中,也不用电池供电。如果自动维护在两天内无法安装更新,Windows Update会立即安装更新。如果安装过程中需要重启,Windows会在设备处于非活动状态时自动重启设备。此选项还将用户控制面板设置为只读。
- 关闭自动更新:禁用设备上的Windows自动更新。
- 扫描Microsoft Update的应用更新:指定Windows是否接受来自Microsoft更新服务的其他Microsoft应用程序的更新。默认为没有配置.
- 未配置:如果您不想配置该行为,请使用此设置。Windows不会改变用户设备上的相关UI。用户可以接受或拒绝其他Microsoft应用程序的更新。
- 是的:Windows允许从Windows Update服务安装应用程序更新。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 没有:Windows不允许通过Windows更新服务安装应用程序更新。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 指定更新分公司:指定用于更新的Windows更新服务分支。默认为没有配置.
- 未配置:如果您不想配置该行为,请使用此设置。Windows不会改变用户设备上的相关UI。用户可以选择Windows Update服务分支。
- 目前的分支:Windows从当前分支接收更新。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 目前的商业分公司:Windows从当前业务分支接收更新。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 配置Defer Feature更新的天数:如果在在美国,Windows将功能更新延迟指定天数,用户不能更改该设置。如果从,用户可以更改延迟特性更新的天数。默认为从.
- 配置延迟质量更新的天数:如果在, Windows将质量更新延迟指定天数,用户不能更改该设置。如果从,用户可以更改延迟质量更新的天数。默认为从.
- 暂停质量更新:指定是否暂停质量更新35天。默认为没有配置.
- 未配置:如果您不想配置该行为,请使用此设置。Windows不会改变用户设备上的相关UI。用户可以选择暂停35天的高质量更新。
- 是的:Windows从Windows更新服务暂停安装质量更新35天。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 没有:Windows不会暂停安装来自Windows更新服务的质量更新。用户设备上的相关设置是不活动的,所以用户不能修改设置。
- 只允许在批准列表中更新:指定是否只安装MDM服务器批准的更新。端点管理不支持配置已批准的更新列表。默认为没有配置.
- 未配置:如果您不想配置该行为,请使用此设置。Windows不会改变用户设备上的相关UI。用户可以选择允许哪些更新。
- 是的,仅安装批准的更新:只允许安装批准的更新。
- 不需要,请安装所有适用的更新:允许在设备上安装任何适用的更新。
- 使用内部更新服务器:指定是否通过Windows server update Services (WSUS)从Windows更新服务或内部更新服务器获取更新。如果从,设备使用Windows升级服务。如果在,设备连接到指定的WSUS服务器进行更新。默认为从.
- 接受由Microsoft以外的实体签署的更新:指定是否接受由Microsoft以外的第三方实体签名的更新。该特性要求设备信任第三方厂商证书。默认为从.
- 允许连接到Microsoft更新服务:允许设备上的Windows更新定期连接到Microsoft更新服务,即使设备被配置为从WSUS服务器获取更新。默认为在.
- 威诺娜州立大学服务器:为WSUS服务器指定服务器URL。
- 备用内部网服务器用于主机更新:指定用于主机更新和接收报告信息的备用内网服务器URL。
- 配置交付优化:是否为Windows 10和Windows 11更新使用交付优化。默认为从.
- 缓存大小:传递优化缓存的最大大小。价值0.意味着无限缓存。默认为10.GB。
- 允许VPN对等体缓存:是否允许设备通过VPN连接到域网络时参与对等体缓存。当在,设备可以从VPN或公司域网络上下载或上传到其他域网设备。默认为从.
- 下载方法:交付优化的下载方法可以用于下载Windows更新,App和App更新。默认为HTTP混合在同一个NAT后面.选项是:
- 只有,没有凝视:禁用点对点缓存,但允许从Windows Update服务器或Windows Server Update Services (WSUS)服务器下载内容进行交付优化。
- HTTP与同一NAT后的对等连接混合:启用同一网络上的对等体共享。传递优化云服务使用与目标客户端相同的公共IP查找连接到Internet的其他客户端。然后,这些客户端尝试使用私有子网IP连接到同一网络上的其他对等体。
- HTTP混合在私人组中窥视:自动根据设备AD DS (Active Directory Domain Services)站点或设备认证的域选择组。对等出现在内部子网、属于同一组的设备之间,包括远程办公室的设备。
- HTTP与Internet对等:为交付优化启用Internet对等源。
- 简单的下载模式,没有凝视:禁用“交付优化”云服务。当“下发优化”云服务不可用、不可访问或内容文件小于10mb时,“下发优化”会自动切换到此模式。在此模式下,“下发优化”提供可靠的下载体验,不存在点对点缓存。
- 不要使用递送优化和使用位:允许客户端使用BranchCache。有关更多信息,请参阅微软的文章,Branchcache..
- 马克斯下载带宽:最大下载带宽,单位为KBs/秒。默认为0.,即动态调整带宽。
- 最大下载带宽百分比:传递优化可以跨所有并发下载活动使用的最大下载带宽。可用下载带宽的百分比。默认为0.,这意味着动态调整。
- Max Upload Bandwidth:上传的最大带宽,单位为KBs/秒。默认为0..价值0.意味着无限的带宽。
- 每月上传数据上限:在每个日历月中,交付优化可以上载到Internet对等点的最大gb大小。默认为20gb。价值0.意味着每月无限制的上传。
终端管理如何处理Windows桌面和平板设备的批准更新
您可以指定是否仅安装批准的更新。端点管理处理更新,如下所示:
- 对于安全更新,例如Windows Defender定义,端点管理会自动批准更新,并在下一次同步期间向设备发送安装命令。
- 对于所有其他更新类型,端点管理在向设备发送安装命令之前等待您的批准。
先决条件
- 您必须将Microsoft Root证书上传到端点管理服务器作为服务器证书。
- 导入服务器证书的操作请参见“导入证书”证书和认证.
只安装经批准的更新
- 去配置>设备策略,打开“OS Update device”策略。
- 改变只允许在审批列表中更新设置为是的,只安装经过批准的更新.
批准更新
在“OS Update device”策略中,向下滚动到等待更新表格端点管理从设备中获取表中列出的更新。
搜索更新与批准状态的等待.
单击要批准的更新的行,然后单击该行的编辑图标(在添加柱子)。
![设备策略配置屏幕]()
要批准更新,请单击批准然后点击保存.
![设备策略配置屏幕]()
笔记:
尽管Pending更新表包含添加和删除命令,但这些命令不会导致端点管理数据库的任何更改。对于挂起的更新,编辑批准状态是唯一可用的操作。
查看设备的Windows更新状态,请执行管理>设备>属性.
当更新发布时,更新标识出现在第一列,并显示状态(成功或失败)。您可以为更新失败的设备创建报告或自动操作。出版的日期和时间也会出现。
更新在首次和后续部署中是如何工作的
OS Update设备策略对首次部署和更新后部署的设备的影响是不同的。
对于端点管理查询设备更新,您必须配置并分配给交付组至少一个OS更新设备策略。
端点管理在设备MDM同步期间查询可安装更新的设备。
- 在第一个OS更新设备策略部署后,Windows更新列表为空,因为尚未报告设备。
当分配的传递组报告更新中的设备时,端点管理会保存其数据库中的更新。要批准任何报告的更新,请再次编辑策略。
更新审批仅适用于您正在编辑的策略。在一个政策中批准的更新在另一个政策中不会显示为批准。下次设备同步时,Endpoint Management会向设备发送一条命令,表明更新已被批准。
对于第二个OS Update设备策略,更新列表包含存储在Endpoint Management数据库中的更新。批准每个策略的更新。
在每次设备同步期间,Endpoint Management查询设备的已批准更新状态,直到设备报告已安装更新。对于需要在安装后重新启动的更新,Endpoint Management会查询更新的状态,直到设备报告已经安装了更新。
- 端点管理不会通过传递组或设备限制策略配置页面中显示的更新。设备报告的所有更新都会显示在列表中。
Android Enterprise设置
- 系统更新策略:确定系统更新发生的时间。如果您启用控制企业车队联盟设置时,更新将自动发生,而不管此设置的配置如何。
- 自动:在可用时安装更新。
- 视窗化:在指定的日常维护窗口中自动安装更新开始时间和时间结束.
- 开始时间:维护窗口的开始,测量为分钟数(0.-1440)从设备当地时间午夜开始。默认为0..
- 结束时间:维护窗口的结束,以分钟数(0.-1440)从设备当地时间午夜开始。默认为120..
- 推迟:允许用户将更新推迟30天。
- 允许无线升级:如果禁用,用户设备无法无线接收软件更新。默认为在.
- 控制企业车队联盟:如果启用,三星设备会检查最新的更新并自动安装。禁用后,用户可以检查更新并手动安装。适用于运行三星Knox 3.0或更高版本的Android企业设备。默认为从.
- 企业FOTA许可证密钥:选择在检查更新时使用的许可密钥。可以在“Samsung MDM License Key”策略中配置。适用于运行三星Knox 3.0或更高版本的Android企业设备。默认为没有一个.可以使用三星MDM许可密钥设备的政策。看到三星MDM license关键设备策略.
Chrome OS设置
- 更新启用:是否自动更新Chrome OS设备到新发布的Chrome OS版本。默认为从.
- 重启后更新:指定在下次用户在成功自动更新后签名时是否重新启动Chrome OS设备。默认为从.
目标平台版本前缀:如果设备在旧版本上,此设置指定要更新的目标版本的前缀。如果设备已经在带有给定前缀的版本上,则不会发生更新。如果设备处于更高版本,则设备仍处于更高版本。回滚不受支持。默认是空的。
使用以下版本格式之一:
- ”“或未设置:更新到最新版本可用。
- 10323年。更新到10323的任何小版本(例如,10323.58.0)。
- 10323.58。更新到10323.58的任何小版本(例如,10323.58.0)。
- 10323.58.0:只更新到这个特定的版本。
延迟更新时间:指定在下载更新之前设备可以等待的时间。从更新首次部署到服务器的时间计算延迟。该设备可以根据更新检查的数量等待时钟时间和剩余时间等待这一时间的一部分。最大持续时间值是14.天。默认为0..
- 发布通道:指定用于提供Chrome OS更新的Google发布通道。需要Google Workspace Chrome配置。
- 委托:意味着用户可以在其设备上选择发布通道。
- 稳定的:稳定通道已经过充分测试。默认情况下,Chrome OS更新通过稳定渠道发布。
- 测试:预览频道包含即将进行的更改和改进,风险较低。
- 戴夫:Dev通道包含最新的特性,可能不稳定。
工作中心设置
您可以使用OS更新设备策略为Citrix Ready工作区集线器设备指定更新文件。当工作区集线器设备使用端点管理服务器进行检查时,设备下载更新文件并自动安装它。
URL:上传操作系统更新文件的URL。首先,从操作系统供应商处下载操作系统更新文件,并将其上传到通过HTTP或HTTPS访问的共享中。不要使用任何凭证来保护共享。一个CLASS的更新文件只适用于相同CLASS的设备。
URL还必须以操作系统更新文件中使用的命名格式结束
Version-class-kernel-architecture-buildnum.lfi.当Citrix Ready工作区中心设备与Endpoint Management服务器签入时,该设备将下载更新文件并自动安装它。无论设备的操作系统版本是否高于或低于正在安装的设备,都会进行安装。
该策略仅适用于与策略中配置的更新文件相同类的设备。例如,如果该策略具有用于nComputing设备的更新文件(NC类),则只仅接收更新的NComputing设备。如果ViewSonic设备(VS类)检查,端点管理不应用更新。
操作系统版本:操作系统版本格式
VERSION-CLASS-KERNEL-ARCHITECTURE-BUILDNUM或者Version-class-kernel-buildnum.