如何使用MDM限制iOS设备的操作系统更新？

由于操作系统更新可以包含新的功能增强或关键错误修复，因此操作系统更新管理在每个组织中都变得至关重要。正如确保所有设备都在更新的操作系统版本上运行一样，在某些情况下，有必要限制iOS设备上的操作系统更新。限制iOS设备上操作系统更新的原因包括：

• 关键企业应用可能不完全支持最新操作系统，从而导致错误和问题。
• 如果多个设备同时更新，企业网络带宽可能会受到影响。
• 最新操作系统中的漏洞可能会妨碍企业应用正常运行。

请按照以下步骤阻止iOS更新

• iOS 11.3以上
• iOS 11.3以下

先决条件

必须监管设备以限制操作系统更新，最好使用Apple Configurator对低于11.3的设备进行监管。点击此处了解更多有关监管iOS设备的信息。

使用MDM阻止操作系统更新的步骤

限制11.3以上设备的操作系统更新

Mobile Device Manager Plus允许管理员创建一个策略来自动更新移动设备上的操作系统。配置此策略并将其应用于设备后，用户将无法根据配置的策略更新设备上的当前操作系统。按照以下步骤创建操作系统更新策略：

1. 导航至设备管理 -> 自动化操作系统更新。
2. 创建新的iOS策略。
3. 选择Delay for并指定要阻止手动操作系统更新的天数。
4. 创建策略并将其分发到所需的组或设备。

注意：操作系统更新最多只能限制为90天，之后用户可以手动更新设备上的操作系统。有关自动化操作系统更新的更多信息，请参阅此文档。

限制11.3以下设备的操作系统更新

域mesu.apple.com被Apple设备用来更新操作系统。如果设备无法联系此域，则无法更新操作系统。防止设备访问域的最佳方法是配置一个代理，通过它可以路由所有internet通信。在此代理中，屏蔽域如下：

限制基于OTA的操作系统更新

要限制所有网络的操作系统更新，

1. 在MDM控制台上，导航至设备管理 -> 配置文件。点击创建配置文件，选择iOS配置文件。
2. 如此处所述配置全局HTTP代理。应该将代理配置为公司网络（始终由MDM管理）外的设备可以访问该代理，并将域mesu.apple.com列入屏蔽列表。此域由iOS设备用于更新操作系统。

仅限制企业网络中的操作系统更新，确保企业网络不受影响。

屏蔽正在使用的组织防火墙/代理或任何第三方过滤器中的域mesu.apple.com。

限制基于iTunes的操作系统更新

1. 选择限制，点击高级安全。
2. 选择限制USB连接和与iTunes配对。这确保了操作系统可以通过iTunes更新，前提是设备连接到使用Apple Configurator监管设备的机器上。如果设备连接到其他机器，则设备不会与机器配对。

配置好两个策略后，保存并发布配置文件。要分发配置文件，

1. 点击设备管理，点击组与设备。
2. 选择与配置文件关联的组/设备。
3. 点击关联配置文件并选择创建的配置文件。
4. 点击保存将配置文件推送到被管设备。

您可以通过将少数设备连接到特定的机器（用于通过Apple Configurator监管设备）来更新操作系统。

备注：如果您无法如上所述限制操作系统更新，请联系我们的支持团队以获取替代解决方案。