組織内でのソフトウェアアップデートの管理

Lucy Zhangです Installation and Software Updateチームのエンジニアです 今日はmacOS iOS iPadOSの 話をしたいと思います ソフトウェアアップデートは Apple製品を使う人に とって欠かせません アップデートによりmacOS Big Surでは 公証サービスや 新しいセキュリティが 強化されました これですべての最新機能が 有効になります おそらく最も重要なのは それが 新しい絵文字を 取得する方法ということです 当プラットフォームで アップデートが簡単になります 実際 過去4年間に導入 されたすべての iPhoneの86％が iOS 14を使用しています でも管理された環境では この過程において より確かなコントロールが 必要です 何台ものデバイスを 管理する時は 最新の状態に しておくべきですが あなたのソフトウェアが OSと互換性があることを 確かめるためリリース前に テストする時間が必要です テスト後はユーザーへの 影響を最小限に抑えながら アップデートプログラムが できるだけ早く インストールされるように する必要があります ここではベータ版と 新しくリリースされた ソフトウェアアップデートの テストを可能にする プログラムと制限について 説明します 次にアップデートを展開するための MDMコマンドです そして最後にユーザーに サポートの準備が できている最新バージョンに 確実にアップデートさせる 新しい方法について お話しします アップデートのテスティング から始めましょう AppleがベータOSを リリースする際は リリース前に同環境で試験 する時間とツールがあります AppleSeed for ITは 新しいソフトウェアの ベータ版の評価と テストに役立ちます Apple School Managerと Apple Business Managerの 非学生管理対象 Apple IDは プログラムに参加でき ご使用の環境でテストする ためのAppleソフトウェア をプレリリースのアクセス テスト計画と感想を提供する 機会が得られます アップデートが 公にリリースされても まだテスト時間が 必要かもしれません そしてユーザーには まだ利用可能には できません そういう時のために 延期があります 延期をすると特定の期間が 終了するまで 監視中のデバイスが ユーザーに提供されるのを 伸ばすことができます このアップデートはAppleによって 発行されるからです 延期制限を申請する場合 デフォルトの延期は アップデートのリリースから 30日です 1〜90日間で 指定することもできます アップデートが利用可能になって 指定された延期が 期限切れになるまでに 十分な時間がある場合は 標準のソフトウェアアップデート通知 およびアップデートプロセスの 一部としてユーザーに 提供されます この制限により システム環境設定の アップデートインターフェイスを より細かく制御できます 遅延アップデートの制限は ソフトウェアアップデート インターフェイスにのみ 影響します MDMコマンドの動作は 変更されません 制限が設定されていても MDMには特定のアップデートを デバイスに送信する 機能があります iPhone iPad Apple TVの場合 ソフトウェアアップデートの延期は iOS 11.3以降 および tvOS 12.2以降で 利用できます アップデートを延期する時は メジャーとマイナーなアップデートに 同じ延期ウィンドウを 設定します Macコンピュータの場合 ソフトウェアアップデートの延期は macOS 10.13 以降で利用できます macOS 11.3以降 ではメジャーリリースは マイナーリリースよりも長い 延期が可能になりました そうすればユーザーは 重要な セキュリティアップデートプログラム を利用しながら 管理者は 本番環境でメジャーリリース の承認に向けて 作業をすることができます これらはMacに インストールするために プロファイルに設定できる キーです forceDelayedMajor SoftwareUpdates このキーを使ってメジャーな リリースを延期しましょう このキーを使えば OSの メジャーアップデートを延期して マイナーアップデートとセキュリティ アップデートを受信できます マイナーリリースを個別に 延期したい場合は forceDelayedSoftwareUpdates キーを使います また補足アップデートを 個別に延期するには forceDelayedApp SoftwareUpdatesを使います 延期タイプが 有効になっていても 対応する延期期間がない 場合は古いキーの ManagedDeferred InstallDelayを使います 延期制限がある場合 これがmacOSでの ソフトウェア アップデート設定ペインの 表示方法です 延期がどう機能するのかを 見てみましょう タイムラインに戻ると アップデートが延期され 環境との互換性について 新しいOSのテストが 続行されます OSを確認してテストを 完了するとOSを ユーザーにプッシュする 準備が整います ユーザーの準備ができたら デバイスをアップデートします ワークフローには 影響を与えません それでは アップデートの 配備について見ましょう 適切なアップデートを 適切なデバイスに インストールには手順があり Montereyの場合 今まで以上にmacOSと iOSにパリティがあります すべてのプラットフォームに アップデートを展開して確認し デバイスの適格性を確認する のが最初のステップです Monterey以前の Macではこうでした 利用可能なOSアップデートは ユーザーのデバイスでのみ 評価できました ScheduleOS UpdateScanを 使いましたが これは 利用可能なOSアップデートに ついてサーバーにクエリを 実行するようにMacに 指示し アップデートを評価して 適格性を判断していました スキャン終了後 MDM サーバーに返送されると MDMは展開するアップデート プログラムを選択できました ただしAppleは ルックアップサービスを 提供しており プラットフォーム間で 利用可能なOSバージョンの リストを提供しています ここでは iOSデバイスを紹介します すでにiPhoneと iPadのフィードを使い Mac用の ScheduleOSUpdate スキャンに要するやり取りを 減らしているかもしれません iOSの場合MDMは ルックアップサービスを 使用してコマンドを デバイスに直接プッシュ するために利用可能な アップデートを認識します 方法は次のとおりです まずMDMサーバーは ルックアップサービスから 12.1や12.2などの 利用可能なアップデートの のリストを取得します アップデート展開の準備ができると MDMサーバーは アップデートされたバージョンを デバイスに送信します 次にデバイスはソフトウェア アップデートサーバーに 到達してアップデートが 適格であることを確認し ダウンロードと インストールを開始します Montereyの新機能が このプロセスを macOSとiOSで 統合します iOSおよびmacOSの ハードウェアモデル文字列を MDMに返す SoftwareUpdateModelID という新しいデバイス情報 クエリキーを サポート するようになりました ソフトウェアルックアップ サービスにはmacOSの 適切なハードウェア識別子 が含まれているため MDMサーバーは AvailableUpdatesコマンドを 使用せずにアップデートの 適用可能性を判断できます iOSと同様にMDMは DeviceInformation 結果をJSON フィードにリストされている デバイスと 比較することにより アップデートの適用可能性を 判断できます またこれまでmacOSは ProductVersionキーを 無視し 代わりにProductKey を使っていました Monterey以降 ProductVersion キーはmacOSで サポートされます iOSはすでにこのキーで アップデートを指定しています 互換性のために ProductVersionと ProductKeyを指定 すると後者が使用されます デバイスがこのバージョンに 適格なアップデートを 見つけることができない場合 適切な応答を送信します これでサポートされている デバイスのデバイスIDを 以前に収集している限り OSの マイナーアップデートの 往復が削除されます MDM管理者はデバイスが 監視されていれば macOS iOS iPadOSのアップデートを 自動的にインストールして 承認ができます macOS 11以降では 自動デバイス登録か デバイス登録を使用すれば 登録されたすべての Macコンピューターを 監視できます iOSとiPadOSの場合 アップデートを続行するには ユーザーはパスコードを 入力する必要があります Appleシリコン搭載の Macコンピュータの 所有権の概念を紹介します 所有権とは大まかに言うと Macを使うために 最初に構成設定をした ユーザーのことで 真の法的所有権や管理過程 には結び付けられていません 所有権はmacOSの特定の インストールスタートアップ セキュリティポリシー変更の 権限保持者を意味します Appleシリコンでは 起動セキュリティポリシー によりMacコンピュータで 起動できるmacOSの バージョンに関する制限と 自動アップデートにブートストラップ トークンを使用する権限 とされています macOSでアップデートを 実行するには認証が必要です Appleシリコン搭載の Macコンピュータの場合 認証にはMDM ブートストラップトークン またはトークンが必要です システム環境設定を介して ユーザーが開始する インタラクティブなアップデートには パスワードが必要です MDMブートストラップ トークンは自動化された 非対話型アップデート に使用されます これにはmacOS 11.2以降が必要で インストールするアップデートには Appleの署名が必要です Montereyの新機能として MDMで開始される インストール後のフローの ブートストラップトークンの サポートが導入されました これはAppleシリコンは アップデートを予定して 後でデバイスを使って いない時に 実行できるということです ユーザーはワークフローを 中断することなく デバイスをアップデートできること に有難いと思うでしょう 翌日 目を覚ますと アップデートされているわけです すでにブートストラップ トークンをサポート している場合は ScheduleOSUpdateの を 使えばこれが機能します MDMが適用可能なアップデートを 認識するとコマンド ScheduleOSUpdate でアップデートされたものを macOSやiOS iPadOSに展開します MDMコマンドを使用すれば 延期期間中または延期後に アップデートプログラムを インストールできます ScheduleOSUpdate コマンドを使用する場合 いくつかの オプションがあります インストールアクション 設定の必要があり その値はアップデートの動作に 大きく影響します InstallASAP インストールアクションは macOSのユーザーレス 主要なアップデートメカニズムです InstallASAPは Appleシリコン搭載の ブートストラップトークンを Mac認証に使用します このアクションはすぐに 実行され ユーザーが アップデートをキャンセルする オプションがあります InstallASAP コマンドは InstallForceResart が使われていない限り アプリケーションを自動的 に閉じることはありません DownloadOnlyは ユーザーとユーザーレス デバイスの両方が インストールの前に バックグラウンドでのアップデートの ダウンロードに役立ちます NotifyOnlyは インストールの動作が あることをユーザーに警告 するために使われます どちらのコマンドも インストールは開始しません InstallLaterを使うと の アップデートを スケジュールできます デバイスは通常 午前２時から４時の間の 時間枠を選択して デバイスが最も使用されて いないときなど 機械学習に基づいて 条件を使用して インストールを実行します その後 電源に接続されて いればその時間枠中に アップデートが発生するように スケジュールします 通知をチェックしましょう InstallASAPや デフォルトのコマンドでは 再起動カウントダウン通知が 受信できます ユーザーは通知オプションの 再開を キャンセルすることを 選択できます InstallLaterを Montereyで使うと ユーザーに この通知が届きます これをより詳しく 調べてみましょう この通知はその夜に アップデートのインストールを 試みることを示しています 後でアップデートを実行する場合は デバイスを電源に 接続する必要があることが 通知されます

iOSやiPadOS デバイスの場合では デフォルトが主要な アップデートメカニズムです DownloadOnlyは インストール時間の前に バックグラウンドでダウンロードを インストールする際 ユーザーとユーザーレス デバイスの両方で役立ちます これがユーザーに 表示されます パスコード保護されていない デバイスはMDMサーバー からコマンドが送信され次第 バージョンをインストールし パスコード保護されている デバイスには少し異なる フローが必要となります インストールコマンドを デバイスがMDMから 受信すると 次のロック 解除時に表示されるように インストールアラートを スケジュールします これによりユーザーは または することができます または も選択できます iOSでは当アラートにより から 選択できます その後表示されるアラートは アップデートをインストールする 準備ができていることを 示します。[iOS 15.0 インストールの準備が完了 しました]等が表示されます そしてと から選べます 前の画面でを タップすると下部に 選択肢が 付いた パスワードプロンプトが 表示されます MDMサーバーがアップデートに必須 とフラグすることもあります これによりユーザーは を 最大３回選択できます を３回タップ すると ユーザーがホーム画面を 押すたびに インストール通知が 表示され のオプションが 削除されます アップデートを インストールする 準備ができた タイムラインに戻りましょう ユーザーレスデバイスの場合 ScheduleOSUpdateで ScheduleOSUpdateで InstallForceRestartが使用できます これらでは強制再起動をして アップデートを実行します またユーザーデバイスの場合 インストールコマンドを 送信するとアップデートの実行は ユーザーに依存します ですが これまでは ということです macOSに向けた 新機能について お話ししたいと思います アップデートの延期期間の終了後 ユーザーがアップデートを 利用できるようになったら アップデートがすぐに インストールされるように したいですね ユーザーがアップデートを キャンセルしたり 延期し続けることは 望ましくありません 強制する方法が必要です Montereyでは InstallLaterの ポリシーを強制する 制御力が高まりました アップデートが実施される前に デバイスがインストールを 要求する回数を指定できます MaxUserDeferrals キーがこの数字を定義します MaxUsDeferrals は延期の最大数に達すると 既存のキーである InstallFreeRestart を示唆します 延期の最大数を強制すると 強制アップデートが発生するまでの 残りの試行回数に関する 情報通知が ユーザーに送られます ユーザー延期の最大数を 変更するには 新しい InstallLaterコマンドを 発行する必要があります ユーザーに表示される内容は 次のとおりです MaxUserDeferrals値を 設定すると 強制インストールまでの 残りの試行回数が 通知に表示されます アップデートは今夜 予定されていますが ユーザーにはオプションが 与えられます を 選択すれば アップデートが再度延期され 残りの試行回数が減少します 今すぐインストールするか 今夜遅くに アップデートを試みることができます ユーザーが 何もしなかった場合 アップデートはその夜に試行されます 最大延期数に達すると このアップデートは強制的に 実行されることが ユーザーに通知されます ユーザーがそのデバイスを 使用しているかどうかに 関係なく デバイスは 再起動してアップデートを実行します この変更により管理者は macOSのアップデートを実施し デバイスがタイムリーに アップデートされるように より詳細な制御が 可能になります

もう一つ ソフトウェアアップデートの 管理についてお話します 今年の新機能としてiOSと iPadOSでは 設定App内でソフトウェア アップデートバージョンの2つから 選択できるようになりました 例えばリリース後すぐに 次のメジャーにアップデートして 最新の機能と最も完全な セキュリティアップデートの セットを入手できます またはiOSや iPadOSの次の メジャーバージョンに移る 準備ができるまで 現在のメジャーリリースを 続行し重要な セキュリティアップデートを 取得することもできます 設定コマンドの新しい オプションを使用すると ユーザーに表示するOS アップデートを制御できます これを指定するには RecommendationCadence のキーのある以下を指定します SoftwareUpdateSettingsdictionary このキーには3つの値を 指定できます RecommendationCadence を0にした場合の表示は： これはデフォルトのビューで MDM制限が 設定されていない場合に 表示されます アップデートのメジャーとマイナーの 両方のバージョンが 利用可能です RecommendationCadence を1にした場合の表示は： アップデートが２バージョン 利用可能な場合 デバイスはバージョン番号の 小さい アップデートバージョンを表示します RecommendationCadence を２にした場合の表示は： アップデートが２バージョン 利用可能な場合 デバイスはより高い バージョン番号の ソフトウェアアップデートを 表示します 既存の enforceSoftwareDelayUpdateで 延期が設定されている場合 デバイスはそれを 考慮に入れて RecommendationCadenceで フィルタリングすることに 注意してください ２つのアップデートの選択肢は 最終的に収束します

要約するとmacOSでは OSバージョンを使用した アップデートの展開がサポート されるようになりました これにより MDMは デバイスに必要なアップデートを 判断しタイムリーに プッシュできます またブートストラップ トークンを使って Appleシリコン搭載の Macコンピューターでの InstallLater フローを自動化しました MaxUserDeferrals でMDMにアップデートをさせ アップデートが発生したときに ユーザーに情報を提供し ワークフローを中断する 可能性が最も低い時間に アップデートをスケジュール できるようにします 最後に iOSに設定に 表示されるアップデートの バージョンを管理するための サポートが追加されました この追加の制御を取得し MontereyやiOS 15の ユーザーに優れた アップデートエクスペリエンスを 提供することを 楽しみにしています ありがとうございました では素晴らしいWWDCを [打楽器音楽]