Microsoft Intune のマネージド macOS デバイスのソフトウェア更新プログラム計画ガイド

更新プログラムを使用してデバイスを最新の状態に保つことが重要です。 管理者は、セキュリティ イベントのリスクを軽減し、ビジネス & ユーザーへの中断を最小限に抑えながら、このリスクを軽減するためにできることを行う必要があります。

Intune には、ソフトウェア更新プログラムを管理できる組み込みのポリシーがあります。 macOS デバイスの場合は、Intune を使用してデバイスの更新プログラムを管理し、デバイスを更新するタイミングを構成し、デバイスの更新状態を確認できます。

この記事は、登録済み macOS デバイスとマネージド macOS デバイスの管理者ガイドとして使用します。 この情報は、組織所有のデバイスでソフトウェア更新プログラムを管理するのに役立ちます。

この記事は、次の項目に適用されます:

  • Intune に登録されている macOS デバイス

ヒント

デバイスが個人所有の場合は、 個人用デバイスのソフトウェア更新プログラム管理ガイドに移動します。

開始する前に

更新プログラムをより迅速にインストールし、遅延を回避するには、デバイスが次の状態であることを確認します。

  • 電源オン。シャットダウンしないが、スリープ状態になる可能性がある
  • 接続済み
  • インターネットに接続

ポリシーを使用して更新プログラムを管理する

✅ デバイスを更新するポリシーを作成します。 エンド ユーザーにこの責任を負ってはいけません。

既定では、ユーザーは通知を受け取り、デバイスで利用可能な最新の更新プログラム ([設定] > [全般] > ソフトウェア更新プログラム) を表示します。 ユーザーは、いつでも更新プログラムをダウンロードしてインストールできます。

また、デバイスの自動更新機能 ([設定] > ソフトウェア更新プログラム) を使用して、更新の動作を変更することもできます。

オペレーティング システムの既定の更新設定と macOS Apple デバイス上のコントロール。

ユーザーが (管理者が更新プログラムを管理する代わりに) 独自の更新プログラムをインストールすると、ユーザーの生産性とビジネス タスクが中断される可能性があります。 例:

  • ユーザーは、組織が承認していない更新プログラムを適用できます。 この状況により、アプリケーションの互換性に問題が発生したり、オペレーティング システムやユーザー エクスペリエンスが変更され、デバイスの使用が中断される可能性があります。

  • ユーザーは、セキュリティまたはアプリの互換性上の理由から必要な更新プログラムの適用を回避できます。 この遅延により、デバイスが危険にさらされたり、機能しなくなる可能性があります。

  • ユーザーは、新しい更新プログラムのチェックを完全に無効にすることができます。

これらの潜在的な問題のため、Microsoft では、ユース ケースのシナリオを評価し、更新エクスペリエンスを管理するためのポリシーを展開して、ビジネスのリスクと中断を最小限に抑えるようにすることをお勧めします。

組織所有デバイスの管理手順

組織が所有する macOS デバイスを更新するには、次の機能をお勧めします。 これらの機能は、独自の更新戦略の出発点として使用することもできます。

  • DDM 設定を使用する - macOS 14.0 以降: macOS 14.0 以降のデバイスでは、マネージド ソフトウェア更新プログラムを使用して Apple の宣言型デバイス管理 (DDM) を構成します。

    macOS 14 以降のデバイスでは MDM 設定を使用できますが、推奨されません。 代わりに、DDM 設定を使用してください。

  • MDM 設定を使用する - macOS 13 以前: macOS 13 以前のデバイスでは、ソフトウェア更新プログラム ポリシーを使用して更新プログラムのインストール時期を管理し、設定カタログ ポリシーを使用して更新プログラムのインストール方法を管理します。

  • ナッジを構成してデプロイする: このコミュニティ ツールは、更新プログラムが利用可能になったときにユーザーにすばやくプロンプトを表示します。 最初の 2 つのポリシーがエンド ユーザーに更新プログラムのインストールを促さない場合は、ナッジによって通知されます。

  • 更新の状態に組み込みのレポートを使用する: 更新ポリシーが展開されたら、レポート機能を使用して更新プログラムの状態を確認できます。

macOS 14 以降

✅ マネージド ソフトウェア更新プログラムを使用して Apple の宣言型デバイス管理 (DDM) を構成する

DDM は、設定を管理するための新しい方法です。 DDM を使用すると、強制期限までに特定の更新プログラムをインストールできます。 DDM の独立した性質により、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理するにつれて、ユーザー エクスペリエンスが向上します。 更新プログラムが利用可能であることをユーザーに求め、ダウンロードも行い、インストール用にデバイスを準備 &、更新プログラムをインストールします。

Apple の宣言型デバイス管理 (DDM) を使用して、次のバージョンのソフトウェア更新プログラムを管理できます。

  • macOS 14 以降

これらの設定は、 Intune 設定カタログで構成できます。 詳細については、設定カタログを使用した マネージド ソフトウェア更新プログラムに関するページを参照してください

macOS 13 以前

macOS バージョン 13 以前では、Intune に組み込まれている Apple の MDM 設定を使用できます。 これらのデバイスでは、次のポリシーを使用します。

  1. ソフトウェア更新ポリシーを作成する: このポリシーでは、更新プログラムが便利なタイミングでダウンロードおよびインストールされるように強制されます。 入力した設定に応じて、ユーザーはプロンプトが表示されず、更新プログラムがインストールされたときにデバイスを使用する必要はありません。

  2. 設定カタログ ポリシーの作成: このポリシーにより、エンド ユーザーが更新チェックを無効にできなくなります。 また、更新プログラムを確認し、ユーザーに定期的にプロンプトを表示するようにデバイスを構成します。

どちらのポリシーも連携して更新エクスペリエンスを管理します。 このセクションでは、これらの手順について説明します。

注:

デバイスが macOS 14 以降を実行している場合は、 macOS 14 以降 で説明されている DDM 設定を使用します (この記事で説明します)。 macOS 14 以降では、ソフトウェア更新ポリシーと設定カタログ ポリシーを使用することはお勧めしません。

✅ 手順 1 - ソフトウェア更新プログラム ポリシーを使用して、更新プログラムがインストールされるタイミングを管理する

ソフトウェア更新ポリシーでは、重要な更新プログラムとファームウェアの更新プログラムがインストールされるタイミングを管理できます。 また、強制的にインストールされる前に、ユーザーが更新プログラムを延期できる回数を管理することもできます。

ほとんどの組織では、 ソフトウェア更新プログラム ポリシーで使用できる設定を構成することをお勧めします。

Intune 管理センターで、macOS 更新ポリシー> Apple 更新プログラム>デバイスに移動します。 以下の設定を構成します。

  • ポリシーの動作設定を更新する

    • 重要な更新プログラム: 後でインストールする
    • ファームウェアの更新: 後でインストールする
    • 構成ファイルの更新: 後でインストールする
    • その他のすべての更新プログラム (OS、組み込みアプリ): 後でインストールする
      • ユーザーの遅延の最大数: 5
      • 優先度: 高

    注:

    • 最近の macOS ビルドでは、ほぼすべての更新プログラムが [構成データ ファイル] または [その他のすべての更新プログラム] として表示されます。 その他のすべての更新プログラム設定は、macOS の古いビルドのレガシ更新プログラムです。
    • これらの設定で指定された時刻は、Intune サービスによって使用されます。 時刻はローカル デバイスの時刻ではありません。 メンテナンス期間を構成する場合は、グローバル環境に対する時間差に注意してください。
  • ポリシー スケジュール設定を更新する

    • スケジュールの種類: 次回のチェックイン時に更新

値は、希望のスケジュールされた時刻に変更できます。 一部の値はマイナー更新プログラムにのみ影響し、メジャー更新プログラムには影響しない場合があります。

具体的な手順と、これらの設定の値 & 詳細については、「 Intune で macOS ソフトウェア更新ポリシーを管理する」を参照してください。

エンド ユーザーのエクスペリエンス

これらの設定では、ユーザーが変更できないように、このポリシーによってこれらの設定がロックされます。 ポリシーも次のとおりです。

  1. デバイスが Intune サービスにチェックインするたびに更新プログラムを確認します。 利用可能な更新プログラムがある場合は、自動的にダウンロードされます。

  2. デバイスが使用されていない期間が検出されます。

    • デバイスが使用されていない場合、ポリシーは更新プログラムを自動的にインストールしようとします。
    • デバイスが使用されている場合、エンド ユーザーは更新プログラムのインストールを選択するか、インストールを最大 5 回延期することができます。 エンド ユーザーが利用可能な場合は、必ず更新プログラムのインストールを推奨してください。

    次の画像は、更新プログラムが利用可能な場合にエンド ユーザーが確認できるプロンプトを示しています。

    macOS Apple デバイスで必要な更新プログラムのサンプル通知プロンプト。

    macOS Apple デバイスで更新プログラムが利用可能であることを示すサンプル通知。

  3. エンド ユーザーがすべての遅延を使用する場合、更新プログラムは強制的にインストールされます。 強制インストールの場合、再起動によってエンド ユーザーにプロンプトが表示されないため、データが失われる可能性があります。

✅ 手順 2 - 設定カタログ ポリシーを使用して更新プログラムのインストール方法を管理する

Intune 設定カタログには、ソフトウェア更新プログラムの管理に役立つ設定も含まれています。 アプリの更新プログラムなど、利用可能な場合に更新プログラムを自動的にインストールするようにデバイスを構成できます。

この設定カタログ ポリシーは 、手順 1 - ソフトウェア更新プログラム ポリシーを使用して、更新プログラムがインストールされたタイミングを管理します (この記事では)。 これにより、デバイスが更新プログラムを確認し、ユーザーにインストールを求めるメッセージが表示されます。 エンド ユーザーは、インストールを完了するために引き続きアクションを実行する必要があります。

Intune 管理センターで、[デバイス] > [デバイスの管理] > [構成] > [設定] カタログ> [ソフトウェア更新プログラム] に移動します。 以下の設定を構成します。

  • リリース前のインストールを許可する: False
  • 自動ダウンロード: True
  • アプリの更新プログラムを自動的にインストールする: True
  • 重要な更新プログラムのインストール: True
  • ソフトウェア更新プログラムを制限するには管理者がインストールする必要があります: False
  • 構成データのインストール: True
  • MacOS 更新プログラムを自動的にインストールする: True
  • 自動チェックが有効: True

設定カタログ ポリシーの作成方法など、設定カタログの詳細については、「 設定カタログを使用して設定を構成する」を参照してください。

エンド ユーザーのエクスペリエンス

このポリシーは、ユーザーが設定を変更できないように、これらの設定をロックします。 デバイスでは、ソフトウェア更新プログラムの設定は灰色で表示されます。

Intune 設定カタログ更新ポリシーが macOS Apple デバイスに適用された後、ソフトウェア更新プログラムの設定は灰色で表示されます。

ナッジ コミュニティ ツールの使用を検討する

このツールは省略可能であり、 エンド ユーザー エクスペリエンスの管理に役立ちます。

Microsoft macOS 管理者コミュニティ内で一般的なツールは、ナッジです。 ナッジは、 エンド ユーザーが macOS 更新プログラムをインストールすることを奨励するオープン ソース ツールです。 管理者向けの豊富な構成エクスペリエンスを提供します。

ナッジを構成してデプロイすると、デバイスを更新する準備ができたときに、エンド ユーザーに次のサンプル メッセージが表示されます。 エンド ユーザーは、デバイスの更新または更新の延期を選択することもできます。

macOS Apple デバイスでソフトウェア更新プログラムを利用できる場合のナッジ コミュニティ ツール メッセージのサンプル。

Microsoft シェル スクリプト リポジトリには、Nudge の サンプル スクリプトと Intune 構成ポリシー もあります。 このスクリプトには、ナッジの使用を開始するために必要なものがすべて含まれています。 .mobileconfig ファイルを値で更新してください。

更新の状態に組み込みのレポートを使用する

更新ポリシーが展開されたら、 Intune 管理センターで、レポート機能を使用して更新プログラムの状態を確認できます。

デバイスごとに、更新プログラムの現在の状態を確認できます (デバイス > macOS > macOS の更新ポリシー)。

組み込みのレポートを使用して、Microsoft Intune 管理センターで macOS Apple デバイスの更新状態を確認します。