Microsoft Intuneで iOS のアップデートを制限する

 

本日の記事は、Microsoft Intuneを使用して、管理対象デバイス( iPhone .i Pad)の iOSアップデートを制限する設定についての内容です。

 

会社や職場でiPhoneやiPadを利用して業務を行っている場合は、Microsoft Intune の機能を利用してi OSのアップデートに関する制限をかける事が可能です。この機能は、設定した業務時間以外の時間に管理対象デバイスのi OSアップデートを行わせる為に使用可能です。

制限事項として、この機能はユーザーが手動でiOSを更新した場合、それを防ぐ事は出来ません。手動でのアップデートを含めたiOSの更新を防ぐ為には、運用面での対策が必要です。このポリシーは監視モードのデバイスでのみ動作します。

 

 

※2018/9/29 加筆

現在、IntuneでiOSのアップデートを完全に抑止する事はできません。以下説明にある通り、このポリシーはiOSアップデートの可視性を欠如させ、メンテナンス時間にiOSアップデートを実施させるためのポリシーです。

 

※エンドユーザーへの更新の表示を遅らせる場合は、更新ポリシーを作成しないでください。代わりに、次のKey-Valueペアを設定してカスタムデバイスコンフィギュレーションをアップロードします。

<key>forceDelayedSoftwareUpdates</key>

<true />

<key>enforcedSoftwareUpdateDelay</key>

<integer>30</integer>

 

 

 

■機能概要

 

Microsoft Intune の ソフトウェア更新ポリシーを使用すると、iOSデバイスに最新のOSアップデートを自動的にインストールさせることができます。この機能は管理対象デバイスでのみ使用できます。ポリシーを設定するときに、デバイスにアップデートをインストールさせたくない日時を追加することができます。

デバイスは約8時間ごとにIntuneでチェックインします。アップデートが利用可能で、限られた時間内でない場合、デバイスは最新のOSアップデートをダウンロードしてインストールします。デバイスを更新するために必要なユーザー対話はありません。このポリシーは、ユーザーが手動でOSを更新することを妨げません。

 

この機能は、iOS 10.3以降を実行するデバイスをサポートします。

 

※注意・このポリシーは監視モードのデバイスでのみ動作します。監視モードのデバイスとは、Apple ConfiguraterやApple DEPを使用して監視モードに設定しているデバイスの事です。

 

 

 

 

Detailed steps [詳細手順] 

 

1. Microsoft365 デバイス管理センターにサインインします。( Azure PortalからIntuneを開いても構いません。)

画面右側のメニューの中から[ソフトウェア更新プログラム]を選択します。

 

 

2.[管理]- [iOSのポリシーを更新する]を選択します。

 

 

3. [作成]を選択します。

 

3. ポリシーの名前と説明を入力し、設定を選択します。

 

 

4. 更新プログラムのインストールを停止する曜日を指定します。平日に更新を行わせたくない場合には、以下のように設定をするのがよいでしょう。

 

 

5. 次に対象のデバイスのタイムゾーンを設定します。日本国内のデバイスを対象とする場合、[ UTC+9  ]を選択します。

 

 

6.次に更新プログラムインストール停止の開始時間と、終了時間を設定します。

 

 

7.次にソフトウェアの更新が表示されるまでの遅延日数を設定します。この設定は[0~90]の範囲で指定が出来ます。設定が完了したら、[OK]を選択してポリシーを保存します。

 

8. [作成]を選択し、ポリシーを作成します。

 

 

9. ポリシーが作成されたら、作成したポリシーを選択し、ポリシーの割り当てを行います。

 

 

 

10.  [割り当て]を選択します。

 

 

11. [必要]を選択し、割りあて先に[選択したグループ]が選択されている事を確認し、[含めるグループを選択]を選択します。

 

 

12. ポリシーを適用させたいグループを選択し、[選択]を選択します。

 

 

13.[保存]を選択し、割り当てが正常に保存されたら作業は完了です。

 

 

 

実はこのポリシーが発表されたのはつい最近で、私も動作がよくわかっていない部分があります。特に、[遅延期間]の設定部分です。ここで設定した期間内はiOSアップデートの可視化が阻害されるような内容がDocsには記載されていましたが、この内容にいまいちピンときません、だって手動でiOSアップデートできるという事は設定アプリからiOSの新バージョンのチェックをかければ表示されてしまうのでは・・・?と、やや動作が不明な点があります。自動的にチェックをしにいかなくなるのでしょうか。。(※2018年9月29日に本記事への加筆を行いました。Intuneは現在iOSアップデートを完全ブロックする事は出来ません。)

 

今回は、Azure Portal側での設定画面のみお見せしましたが、今後本機能については検証を続けて、実際に監視モードに設定をしているデバイスでどのようにポリシーが動作するかといった部分までお伝えしていければと思います。

 

 

参考資料 Docs : IntuneでiOSアップデートポリシーを設定する

https://docs.microsoft.com/en-us/intune/software-updates-ios

Sekiya Hideyuki

Profile: 都内のSIer勤務のインフラエンジニアです。普段はMicrosoft 365系のお仕事をしています。 ※本WEB SITEに記述している全ての内容は個人の主張であり、所属組織の見解や方針とは関係がありません。本サイトと所属組織とは無関係です。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください