Directiva de actualización del SO
La directiva “Actualización del SO” permite implementar:
-
Las actualizaciones más recientes del sistema operativo en dispositivos iOS supervisados.
La directiva “Actualización del SO” solo funciona con dispositivos supervisados e inscritos en el Programa de implementación de Apple.
-
Las actualizaciones de software más recientes (de sistema operativo y de aplicaciones) en dispositivos macOS inscritos en el Programa de implementación que ejecutan macOS 10.11.5 y versiones posteriores.
Nota:
Actualmente, Apple limita las actualizaciones del SO a las versiones principales únicamente. Los administradores no tienen permiso para actualizar las versiones secundarias. Para obtener más información, consulte este artículo de la documentación de Apple.
-
Las actualizaciones más recientes del sistema operativo en escritorios y tabletas supervisados con Windows 10 o Windows 11.
También puede utilizar la directiva Actualización del SO para administrar parámetros de la optimización de la entrega para escritorios y tabletas con Windows 10 (versión 1607 o una posterior) o Windows 11. La optimización de distribución (o de entrega) es un servicio de actualización de clientes punto a punto que ofrece Microsoft para las actualizaciones de Windows 10 o Windows 11. El objetivo de la optimización de entrega es reducir los problemas de ancho de banda durante el proceso de actualización. La reducción del ancho de banda se logra al compartir la tarea de descarga entre múltiples dispositivos. Para obtener más información, consulte el artículo Configurar Optimización de distribución para actualizaciones de Windows 10 de Microsoft.
-
Las actualizaciones más recientes del sistema operativo en dispositivos Android Enterprise administrados (Android 7.0 y versiones posteriores).
Importante:
La directiva de actualización de SO no le permite inhabilitar completamente las actualizaciones. Para retrasar las actualizaciones hasta 90 días, cree una directiva de restricciones. Consulte Directiva de restricciones.
Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.
Parámetros de iOS
Los siguientes parámetros son para dispositivos supervisados con iOS.
- Opciones de actualización de SO: Ambas opciones descargan las actualizaciones más recientes del sistema operativo en los dispositivos supervisados siguiendo la frecuencia de Frecuencia de actualización de SO. El dispositivo pide al usuario que instale las actualizaciones. La solicitud sigue visible después de que el usuario desbloquee el dispositivo.
- Frecuencia de actualización de SO: Determina la frecuencia con que Citrix Endpoint Management comprueba el estado de las actualizaciones y actualiza el sistema operativo del dispositivo. El valor predeterminado es de 7 días.
-
Versión de actualización del SO: Especifica la versión que se usará para actualizar los dispositivos iOS supervisados. El valor predeterminado es Versión más reciente.
- Versión más reciente: Seleccione esta opción para actualizar a la versión más reciente del sistema operativo.
- Solo la versión especificada: Seleccione esta opción para actualizar a una versión concreta del sistema operativo y luego escriba el número de versión.
Parámetros de macOS
-
Opciones de actualizaciones de software: Controla de qué modo los dispositivos macOS comprueban e instalan las actualizaciones. Seleccione entre las siguientes opciones:
- Instalar automáticamente actualizaciones de macOS: Las actualizaciones se descargan e instalan automáticamente.
- Descargar nuevas actualizaciones cuando estén disponibles: Las actualizaciones se descargan, pero deben instalarse manualmente.
- Comprobar actualizaciones: Comprueba si existen actualizaciones, pero no las descarga ni las instala automáticamente.
- No comprobar si hay actualizaciones: No comprueba la existencia de actualizaciones ni las descarga ni las instala automáticamente. Los usuarios aún pueden instalar actualizaciones manualmente.
- Actualizaciones críticas: Permite la instalación automática de actualizaciones críticas de macOS.
- Instalar automáticamente las actualizaciones de XProtect, MRT y Gatekeeper: Permite a los dispositivos macOS instalar automáticamente actualizaciones del software de seguridad.
- Permitir la instalación de software de prelanzamiento de macOS: Permite que los usuarios instalen versiones prelanzamiento del software de macOS.
- Instalar automáticamente las actualizaciones de aplicaciones de App Store: Permite que las aplicaciones de App Store se actualicen automáticamente.
Obtener el estado para las acciones de actualización de iOS y macOS
Para iOS y macOS, Citrix Endpoint Management no implementa la directiva Controlar actualización del SO en los dispositivos. En vez de ello, Citrix Endpoint Management utiliza la directiva para enviar estos comandos MDM a los dispositivos:
- Programación del examen de actualizaciones de SO: Solicita que el dispositivo realice un examen exhaustivo para buscar actualizaciones del sistema operativo. (Opcional para iOS)
- Actualizaciones disponibles del sistema operativo: Consulta el dispositivo para obtener una lista de las actualizaciones del sistema operativo disponibles.
- Programación de actualización de SO: Solicita que el dispositivo realice actualizaciones de macOS, actualizaciones de aplicaciones o ambas. Por lo tanto, el sistema operativo del dispositivo determina cuándo descargar o instalar las actualizaciones del sistema operativo y las aplicaciones.
La página Administrar > Dispositivos > Detalles del dispositivo muestra el estado de los exámenes programados de actualizaciones del SO, las actualizaciones disponibles del SO y las actualizaciones programadas de macOS y aplicaciones.
Para obtener más información sobre el estado de las acciones de actualización, vaya a la página Administrar > Dispositivos > Detalles del dispositivo (Grupos de entrega).
Para obtener más información, como la lista de las actualizaciones disponibles del sistema operativo y el último intento de instalación, vaya a la página Administrar > Dispositivos > Detalles del dispositivo (Propiedades).
Parámetros de tabletas y escritorios Windows
- Seleccionar modo de horas de actividad: Seleccione un modo para definir las horas de actividad durante las que realizar las actualizaciones de sistema operativo por franja de horas o por horas de inicio y finalización. Puede especificar una franja horaria o una hora de inicio y finalización. Tras seleccionar un modo, aparecerán más parámetros: Especificar rango máximo de horas de actividad o Inicio de las horas de actividad y Fin de las horas de actividad. La opción No configurada permite a Windows ejecutar las actualizaciones de SO en cualquier momento. El valor predeterminado es No configurada.
-
Comportamiento de actualización automática: Define el comportamiento a la hora de descargar, instalar y reiniciar el servicio Windows Update en los dispositivos de usuario. El valor predeterminado es Instalar y reiniciar automáticamente.
- Notificar al usuario antes de descargar la actualización: Windows notifica a los usuarios cuando hay actualizaciones disponibles. Windows no descarga ni instala automáticamente las actualizaciones. Los usuarios deben iniciar las acciones de descarga e instalación.
- Instalar automáticamente y notificarlo para programar el reinicio del dispositivo: Windows descarga automáticamente las actualizaciones en redes de uso no medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows pide al usuario que fije la hora del reinicio. El usuario tiene un máximo de siete días para programar el reinicio. Después de siete días, Windows obliga al dispositivo a reiniciarse. Permitir que el usuario controle la hora de inicio reduce el riesgo de pérdida accidental de datos causada por aplicaciones que no se cierran correctamente al reiniciar.
- Instalar y reiniciar automáticamente: Este es el valor predeterminado. Windows descarga automáticamente las actualizaciones en redes sin uso medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows reinicia automáticamente el dispositivo cuando el dispositivo está inactivo.
- Instalar automáticamente y reiniciar a una hora especificada: Si selecciona esta opción, aparecen más parámetros para que indique el día y la hora de reinicio. De forma predeterminada, es a las 3:00 todos los días. La instalación automática ocurre a la hora especificada y el reinicio del dispositivo ocurre tras una cuenta atrás de 15 minutos. Si el usuario tiene la sesión iniciada cuando Windows esté listo para el reinicio, el usuario puede interrumpir la cuenta atrás de 15 minutos para atrasar el reinicio.
- Instalar automáticamente y reiniciar sin control por parte del usuario final: Windows descarga automáticamente las actualizaciones en redes de uso no medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows reinicia automáticamente el dispositivo cuando el dispositivo está inactivo. Esta opción también provoca que el panel de control del usuario sea de solo lectura.
- Desactivar actualizaciones automáticas: Las actualizaciones automáticas de Windows se inhabilitan en el dispositivo.
-
Buscar actualizaciones de aplicaciones en Microsoft Update: Especifica si Windows acepta actualizaciones de otras aplicaciones Microsoft desde el servicio Microsoft Update. El valor predeterminado es No configurada.
- No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden aceptar o rechazar las actualizaciones para otras aplicaciones Microsoft.
- Sí: Windows permite que las actualizaciones de las aplicaciones se instalen desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
- No: Windows no permite que las actualizaciones de las aplicaciones se instalen desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
-
Especificar rama de actualizaciones: Especifica la rama del servicio Windows Update que se va a utilizar para las actualizaciones. El valor predeterminado es No configurada.
- No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden elegir la rama del servicio Windows Update.
- Rama actual: Windows recibe actualizaciones provenientes de la rama actual (Current Branch). El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
- Rama actual para empresas: Windows recibe actualizaciones provenientes de la rama actual para empresas (Current Branch for Business). El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
- Configurar cuántos días se pueden posponer las actualizaciones de funciones: Si tiene el valor Sí, Windows pospone las actualizaciones de las funciones durante la cantidad especificada de días; el usuario no puede modificar el parámetro. Cuando tiene el valor No, el usuario puede cambiar la cantidad de días que se pospondrán las actualizaciones de las funciones. Está desactivado de forma predeterminada.
- Configurar cuántos días se pueden posponer las actualizaciones de calidad: Si tiene el valor es Sí, Windows pospone las actualizaciones de calidad durante la cantidad especificada de días; el usuario no puede modificar el parámetro. Cuando tiene el valor No, el usuario puede cambiar la cantidad de días que se pospondrán las actualizaciones de calidad. Está desactivado de forma predeterminada.
-
Poner en pausa actualizaciones de calidad: Especifica si pausar las actualizaciones de calidad durante 35 días. El valor predeterminado es No configurada.
- No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden optar por pausar actualizaciones de calidad durante 35 días.
- Sí: Windows pausa la instalación de actualizaciones de calidad desde el servicio Windows Update durante 35 días. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
- No: Windows no pausa la instalación de actualizaciones de calidad desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
-
Permitir solo las actualizaciones en la lista de aprobación: Especifica si se deben instalar solo las actualizaciones que apruebe un servidor MDM. Citrix Endpoint Management no admite la configuración de una lista de actualizaciones aprobadas. El valor predeterminado es No configurada.
- No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden elegir las actualizaciones que quieren permitir.
- Sí, instalar solo actualizaciones aprobadas: Permite que solo se instalen las actualizaciones aprobadas.
- No, instalar todas las actualizaciones aplicables: Permite que se instalen todas las actualizaciones correspondientes en el dispositivo.
-
Usar servidor de actualización interno: Especifica si obtener actualizaciones desde el servicio Windows Update o un servidor interno de actualizaciones a través de Windows Server Update Services (WSUS). Si tiene el valor No, los dispositivos usan el servicio Windows Update. Si tiene el valor Sí, los dispositivos se conectan al servidor WSUS especificado para las actualizaciones. Está desactivado de forma predeterminada.
- Aceptar actualizaciones firmadas por entidades distintas de Microsoft: Especifica si aceptar actualizaciones firmadas por entidades de terceros que no sean Microsoft. Esta función requiere que el dispositivo confíe en el certificado de proveedores de terceros. Está desactivado de forma predeterminada.
- Permitir conexión con el servicio de actualización de Microsoft: Permite que Windows Update presente en el dispositivo se conecte periódicamente al servicio de actualización de Microsoft, incluso aunque el dispositivo esté configurado para obtener actualizaciones desde un servidor WSUS. Está activado de forma predeterminada.
- Servidor WSUS: Especifique la URL del servidor WSUS.
- Servidor de intranet alternativo para alojar actualizaciones: Especifique la URL de un servidor de intranet alternativo para alojar actualizaciones y recibir información.
- Configurar optimización de la entrega: Usar o no la optimización de entrega para las actualizaciones de Windows 10 o Windows 11. El valor predeterminado es Desactivado.
- Tamaño de caché: El tamaño máximo de la memoria caché para la optimización de entrega. Un valor de 0 significa una memoria caché ilimitada. El valor predeterminado es 10 (GB).
- Permitir caché en nodo homólogo de VPN: Permite o no que los dispositivos participen en el almacenamiento en caché entre homólogos cuando están conectados a la red del dominio a través de la red VPN. Si tiene el valor Sí, el dispositivo puede descargar o cargar a otros dispositivos de red del dominio, ya sea en la red VPN o en la red del dominio corporativo. El valor predeterminado es Desactivado.
-
Método de descarga: El método de descarga que la optimización de entrega puede usar para descargar actualizaciones de Windows, aplicaciones y actualizaciones de aplicaciones. El valor predeterminado es HTTP combinado con nodos homólogos dentro de la misma NAT. Las opciones son:
- Solo HTTP, sin usar nodos homólogos: Inhabilita el almacenamiento en memoria caché entre nodos homólogos, pero permite la optimización de entrega para descargar contenido de los servidores Windows Update o Windows Server Update Services (WSUS).
- HTTP combinado con nodos homólogos dentro de la misma NAT: Permite el intercambio entre nodos homólogos en la misma red. El servicio en la nube de Optimización de entrega (o distribución) busca otros clientes que se conectan a Internet mediante la misma IP pública que el cliente de destino. Luego, esos clientes intentan conectarse a otros nodos homólogos en la misma red mediante su IP de subred privada.
- HTTP combinado con nodos homólogos en un grupo privado: Selecciona automáticamente un grupo basándose en el sitio de Servicios de dominio de Active Directory (AD DS) del dispositivo o el dominio en que se autentica el dispositivo. La comunicación con nodos homólogos se produce en subredes internas, entre dispositivos que pertenecen al mismo grupo, incluidos los dispositivos en oficinas remotas.
- HTTP combinado con nodos homólogos en Internet: Habilita las fuentes de nodos homólogos en Internet para la optimización de entrega.
- Modo de descarga simple, sin nodos homólogos: Inhabilita el uso de los servicios de optimización de entrega en la nube. La optimización de entrega cambia a este modo automáticamente cuando los servicios de la optimización de entrega en la nube no están disponibles, no se puede establecer contacto con ellos, o bien cuando el tamaño del archivo de contenido es inferior a 10 MB. En este modo, la optimización de entrega proporciona una experiencia de descarga fiable, sin almacenamiento en caché de los nodos homólogos.
- No usar optimización de entrega y usar BITS en su lugar: Permite a los clientes usar BranchCache. Para obtener más información, consulte el artículo BranchCache de Microsoft.
- Ancho de banda máximo para descarga: El ancho de banda máximo para descargas, en KB/segundo. El valor predeterminado es 0, lo que significa un ajuste de ancho de banda dinámico.
- Porcentaje de ancho de banda máximo para descargas: El ancho de banda máximo para descargas que la optimización de entrega puede usar en todas las actividades de descarga simultáneas. El valor es un porcentaje del ancho de banda disponible para las descargas. El valor predeterminado es 0, lo que significa un ajuste dinámico.
- Ancho de banda máximo para carga: El ancho de banda máximo para cargas, en KB/segundo. El valor predeterminado es 0. Un valor de 0 significa un ancho de banda ilimitado.
- Capacidad de carga de datos mensual: El tamaño máximo, en GB, que la optimización de entrega puede cargar en los nodos homólogos en Internet cada mes natural. El valor predeterminado es 20 GB. Un valor de 0 significa cargas mensuales ilimitadas.
Cómo gestiona Citrix Endpoint Management las actualizaciones aprobadas para escritorios y tabletas Windows
Puede indicar si instalar solo las actualizaciones aprobadas. Citrix Endpoint Management gestiona las actualizaciones de la siguiente manera:
- Cuando se trata de una actualización de seguridad (por ejemplo, definiciones de Windows Defender), Citrix Endpoint Management aprueba automáticamente la actualización y envía un comando de instalación al dispositivo durante la siguiente sincronización.
- Cuando se trata de todos los demás tipos de actualización, Citrix Endpoint Management espera la aprobación de estos antes de enviar el comando de instalación al dispositivo.
Requisitos previos
- Debe cargar el certificado raíz de Microsoft en el servidor Citrix Endpoint Management como un certificado de servidor.
- Para obtener información sobre cómo importar un certificado de servidor, consulte “Para importar un certificado” en Certificados y autenticación.
Para instalar solo las actualizaciones aprobadas
- Vaya a Configurar > Directivas de dispositivo y abra la directiva Actualización del SO.
- Cambie el parámetro Permite solo las actualizaciones en la lista de aprobación a Sí, instalar solo actualizaciones aprobadas.
Para aprobar una actualización
-
En la directiva Actualización del SO, desplácese hacia abajo hasta la tabla Actualizaciones pendientes. Citrix Endpoint Management obtiene las actualizaciones que aparecen en la tabla desde los dispositivos.
-
Busque actualizaciones con un Estado de aprobación que sea Pendiente.
-
Haga clic en la fila de la actualización que quiere aprobar y, a continuación, haga clic en el icono de modificación de esa fila (en la columna Agregar).
-
Para aprobar la actualización, haga clic en Aprobada y, a continuación, haga clic en Guardar.
Nota:
Aunque la tabla “Actualizaciones pendientes” contiene los comandos de agregar y eliminar, esos comandos no producen ningún cambio en la base de datos de Citrix Endpoint Management. Modificar el estado de la aprobación es la única acción disponible para las actualizaciones pendientes.
Para ver el estado de las actualizaciones Windows de un dispositivo, vaya a Administrar > Dispositivos > Propiedades.
Cuando se publica una actualización, el ID de actualización aparece en la primera columna con un estado (Correcto o Fallo). Puede crear un informe o una acción automatizada para dispositivos con actualizaciones fallidas. También aparecen la fecha y la hora de la publicación.
Cómo funcionan las actualizaciones para implementaciones nuevas y posteriores
El efecto que produce la directiva Actualización del SO difiere según si se trata de una primera implementación en un dispositivo o una implementación posterior (donde el dispositivo ya había obtenido actualizaciones).
-
Para que Citrix Endpoint Management consulte las actualizaciones de un dispositivo, debe configurar y asignar a un grupo de entrega al menos una directiva Actualización del SO.
Citrix Endpoint Management envía consultas a un dispositivo para saber si hay actualizaciones que se puedan instalar durante la sincronización MDM de ese dispositivo.
- Una vez implementada la primera directiva Actualización del SO, la lista de actualizaciones Windows está vacía porque ningún dispositivo ha informado aún sobre las actualizaciones que pueda necesitar.
-
Cuando los dispositivos que se encuentren en el grupo de entrega asignado informen de actualizaciones necesarias, Citrix Endpoint Management guardará esas actualizaciones en su base de datos. Para aprobar las actualizaciones notificadas, modifique de nuevo la directiva.
La aprobación de las actualizaciones solo se aplica a la directiva que se modifica. Las actualizaciones aprobadas en una directiva no se muestran como aprobadas en otra directiva. La próxima vez que se sincronice el dispositivo, Citrix Endpoint Management le enviará un comando para indicarle que se ha aprobado la actualización.
-
Para una segunda directiva Actualización del SO, la lista de actualizaciones ya contiene las actualizaciones guardadas en la base de datos de Citrix Endpoint Management. Deberá aprobar actualizaciones para cada directiva.
Durante cada sincronización de dispositivo, Citrix Endpoint Management envía consultas a ese dispositivo sobre el estado de una actualización aprobada hasta que el dispositivo informe que se ha instalado una actualización. Para las actualizaciones que requieren el reinicio del dispositivo después de instalarse, Citrix Endpoint Management enviará consultas sobre el estado de la actualización hasta que el dispositivo informe que está instalada.
- Citrix Endpoint Management no restringe las actualizaciones que se muestran en la página de configuración de directiva por dispositivo ni por grupo de entrega. Aparecen en la lista todas aquellas actualizaciones sobre las que hayan informado los dispositivos.
Parámetros de Android Enterprise
-
Directiva de actualización del sistema: Determina cuándo se producen las actualizaciones del sistema.
- Automática: Las actualizaciones se instalan en cuanto están disponibles.
-
Intervalo: Las actualizaciones se instalan automáticamente durante el intervalo de mantenimiento diario, especificado en los campos Hora de inicio y Hora de fin.
- Hora de inicio: El inicio del intervalo de mantenimiento, medido en cantidad de minutos (de 0 a 1440) desde la medianoche según la hora local del dispositivo. El valor predeterminado es 0.
- Hora de fin: La finalización del intervalo de mantenimiento, medido en cantidad de minutos (de 0 a 1440) desde la medianoche según la hora local del dispositivo. El valor predeterminado es 120.
- Posponer: Permite a los usuarios posponer una actualización hasta 30 días.
- Predeterminado: Establece la directiva de actualización en el valor predeterminado del sistema.
-
Permitir actualización inalámbrica: Si se inhabilita, los dispositivos de usuario no pueden recibir actualizaciones de software por conexión inalámbrica. De forma predeterminada, está activado.
-
Período de congelación: Si está activado, las actualizaciones del sistema operativo no se instalan en el dispositivo durante el intervalo de fechas especificado para las directivas de actualización Automática, Posponer e Intervalo. Solo se puede configurar un período de congelación para un dispositivo. La duración del período de congelación no puede exceder los 90 días.
- Fecha de inicio/Fecha de finalización: El intervalo de fechas en el que las actualizaciones del sistema operativo no se instalan si el período de congelación está habilitado.
-
Período de congelación: Si está activado, las actualizaciones del sistema operativo no se instalan en el dispositivo durante el intervalo de fechas especificado para las directivas de actualización Automática, Posponer e Intervalo. Solo se puede configurar un período de congelación para un dispositivo. La duración del período de congelación no puede exceder los 90 días.
- Fecha de inicio/Fecha de finalización: El intervalo de fechas en el que las actualizaciones del sistema operativo no se instalan si el período de congelación está habilitado.