עדכון 2024
ההליך המתואר במאמר ובסרטון אינו רלוונטי ברובו. אמנם חלק מההליך באמצעות פקודות MDM דומה (בעיקר למערכות macOS 13 ומטה), אולם החל מmacOS 14 ומעלה Apple וכמובן Jamf עברו להשתמש ב DDM הוא Declarative Device Management, הליך יעיל ומודרני יותר לניהול עדכוני מערכת ההפעלה.
שימו לב שההליכים המתוארים מטה עדיין יעבדו על מערכות הפעלה ישנות ומחשבים ישנים שאינם עם Apple Silicon.
מספר מקורות היעזרו בהטמעת עדכוני מערכת מודרניים עם Jamf ובנוסף מקורות ידע כלליים על המעבר לDDM:
Managed software updates via DDM
Explore advances in declarative device management - Apple
What's next for MDM? | JNUC 2023
The history of Apple device management: where we started - The future of Apple Mobile Device Management (MDM) is declarative device management. But how did we get here?
בשל עדכון האבטחה של Apple, הכנו בעבורכם סרטון הדרכה המרכז את האפשרויות לעדכוני מערכת באמצעות Jamf Pro:
הסרטון מדגים את הדרכים הבסיסיות לעדכון מערכת ב macOS:
באמצעות דחיפת עדכונים באמצעות פקודת MDM
או באמצעות דחיפת עדכונים באמצעות פקודת Terminal משולבת ב-Policy של Jamf
חשוב! מדובר בעדכון, לא שדרוג, כלומר למשל ממערכת 12.5 או 12.4 ל-12.5.1 ולא בין מערכות הפעלה שלמות
בסרטון אנו מתארים גם דרכים לעקוב אחר מצב הגרסאות במחשבי ה-Mac בחברה ומצב העדכונים בכל זמן נתון
כמו כן, ריכזנו עבורכם את המדריך לפתרון המובנה ב Jamf Pro :
https://docs.jamf.com/best-practice-workflows/jamf-pro/managing-macos-updates/Introduction.html
לקוחות Wediggit מוזמנים לפתוח קריאת שירות, לקוחות המעוניינים לשמוע עוד על שירותינו מוזמנים לפנות אלינו:
עדכונים חשובים והערות לסרטון:
עדכון עם MDM Command
מתוך המדריך למשתמש של Jamf:
https://docs.jamf.com/10.40.0/jamf-pro/documentation/Remote_Commands_for_Computers.html
עדכון באמצעות פקודת MDM זמינה באופן כללי למחשבים עם macOS 11 ומעלה - ומתוך אלה, מחשבים שהוכנסו לניהול עם ABM (Prestage) , או שהם Supervised.
ניתן ליצור קבוצה של מחשבים כנ״ל (אך ניתן גם לשלוח לכל המחשבים, במקרה ופקודה תישלח לאחרים זה פשוט ייכשל או לא יידחף).
בפקודה ניתן לדחוף את העדכון עם או בלי התקנה בפועל. התקנה בפועל גוררת אתחול מיידי ללא התרעה למשתמש. כפי שצויין בסרטון ניתן להשתמש ב Mass Action על מנת לשלוח פקודה לקבוצת מחשבים גדולה. מתוך המדריך למשתמש של Jamf:
https://docs.jamf.com/10.40.0/jamf-pro/documentation/Mass_Actions_for_Computers.html
במחשבים עם 12.3 ומעלה ניתן לתת למשתמש אפשרות לדחות את העדכון בפועל מספר פעמים, כל פעם היא 24 שעות (אם הפקודה תגיע למקים עם גרסה נמוכה יותר פשוט לא תהיה אפשרות דחייה).
גם במקרה של דחיפה, העדכון מתבצע רק בתנאי סוללה מתאימים של 50% לפחות או חיבור למטען.
עוד על כל הדרכים בהן אפל מאפשרת לארגון לנהל עדכונים כאן:
https://support.apple.com/he-il/guide/deployment/depc4c80847a/web
לגבי מחשבים עם אפל סיליקון (מתוך הקבוצה הנ״ל):
המשתמש יקבל בקשה לססמה גם במקרה של דחיפת עדכון אוטומטי עם התקנה בפועל, אלא אם כן יש ל Jamf Pro את ה Bootstrap Token בשרת (מפתח ה FileVault 2).
הערות נוספות:
- הפקודה נשלחת מהשרת מיד, אבל עומדת ״בתור״ לכל המכשירים. מכשיר שקיבל אותה יכול להמתין עד 6 שעות עד שמקבל את העדכון מאפל.
- לאחר קבלת פקודת העדכון, העדכון יורד ״מאחורי הקלעים״ וגודלו כ-2.5GB לפחות, לכן הפעולה יכולה לקחת זמן.
- אפל תיקנה בעיה עם עדכון דרך הפקודה בעדכון macOS 11.5, כלומר האמינות שופרה החל ממערכת זו ובכל מקרה לא אמורה להיות בעיה בעדכון מתוך macOS 12.
עדכון עם Jamf Policy
לצערנו, מחשבים עם Apple Silicon לא יכולים לקבל עדכונים באמצעות Jamd Policy (או באמצעות פקודת טרמינל) במידה והעדכון מצריך אתחול מערכת. כלומר, העדכון ל12.5.1 לא אפשרי באמצעות פוליסי, אך העדכון לספארי במקים עם 11.6.8 אפשרי בכל מקרה.
לכן -
ניתן למקד עדכון כללי כמו בסרטון לכל מחשבי האינטל (קבוצה חכמה של כל המחשבים עם מעבד אינטל) באמצעות הפקודה:
softwareupdate -i -r -R --agree-to-license
ולכל מחשבי ה Apple Silicon למקד רק מחשבים עם 11.6.8 ולהריץ Jamf Policy עם הפקודה הבאה (להחליף את הפקודה שבסרטון וללא אתחול):
softwareupdate -i Safari15.6.1BigSurAuto-15.6.1
לגבי עדכוני iOS
פרצת האבטחה התגלתה גם במנוע הWebkit שקיים במערכת ההפעלה הזמינה לכל המכשירים ב6 שנים האחרונות, לכן גם הם צריכים עדכון למערכת הזמינה האחרונה.
החל מiOS 12, כלומר הרוחב המוחלט של מכשירים, ניהול עדכוני מערכת הפעלה הוא דומה וסטנדרטי.
התנאי היחידי הוא מכשירים שהם Supervised, כלומר ברוב המקרים מכשירים שאינם BYOD
ל-Jamf מדריך מסודר לעדכון מערכת בתנאים כאלה:
https://docs.jamf.com/best-practice-workflows/jamf-pro/managing-ios-updates/Updating_iOS.html
בנוסף, גם אם בוחרים לא לעדכן בכח, או שיש צורך להגיע גם למכשירים שהם לא Supervised, ניתן לשלוח התראה לכל המכשירים שמותקנת עליהם אפליקצית Self Service באמצעות Mass Action:
Send a mass notification to mobile devices with Jamf Self Service for iOS installed
https://docs.jamf.com/10.40.0/jamf-pro/documentation/Mass_Actions_for_Mobile_Devices.html