Migrering av iPad-oppdateringer til DDM etter AirPlay-sårbarheten

Problemet

CVE-2025-24252 ble publisert - en AirPlay-sårbarhet som lar angripere på det lokale nettverket korrumpere prosessminne. Apple patchet dette i iOS 18.4 og iPadOS 17.7.6.

Mange miljøer bruker fortsatt gamle MDM-baserte programvareoppdateringspolicyer. Disse er utdaterte og gir ikke den kontrollen DDM (Declarative Device Management) tilbyr.

På tide å fikse det.

Rammer

Microsoft Intune
iPads (blandede generasjoner)
Entra ID-grupper

Beslutning

1. Organiserte iPads i grupper

Først trengte jeg oversikt. Opprettet 3 dynamiske grupper basert på iPad-generasjon:

Gruppe 1: Eldre iPads (6.-7. gen)

(device.deviceModel -contains "iPad7") or (device.deviceModel -contains "iPad6")

Gruppe 2: Mellomklasse iPads (8.-9. gen)

(device.deviceModel -contains "iPad12") or (device.deviceModel -contains "iPad13")

Gruppe 3: Nyere iPads (10. gen+)

(device.deviceModel -contains "iPad14")

Gå til Entra ID → Grupper → Ny gruppe → Dynamisk enhet → Legg til regelen din.

2. Fant enheter som ikke kunne oppdateres

iPad 5. generasjon kan ikke få iOS 17.7.6 eller 18.4. Disse sitter fast på iOS 16 - ingen patch tilgjengelig.

For å finne dem:

Gå til Intune → Enheter → Alle enheter
Filtrer etter OS-versjon og modell
Eksporter listen

Enhver iPad 5. gen (modell A1822, A1823) må erstattes. Ingen vei utenom.

3. Opprettet DDM-oppdateringspolicy

DDM gir deg mer kontroll enn de gamle MDM-policyene. Her er hva jeg konfigurerte:

Gå til Intune → Enheter → Administrer oppdateringer → Apple-oppdateringer → Opprett profil
Velg iOS/iPadOS og Innstillingskatalog
Legg til Declarative Device Management → Software Update

Innstillinger jeg brukte:

Innstilling	Pilotgruppe	Produksjon
Mål-OS-versjon	Nyeste	Nyeste
Installasjonfrist	Umiddelbart	7 dager
Varsler	Vis alle	Vis alle

4. Rullet ut i faser

Uke 1: Pilotgruppe - umiddelbar frist, overvåk for problemer.

Uke 2: Produksjon - 7-dagers frist så brukerne har tid til å lagre arbeid og lade enhetene.

Implementering

iPad 5. gen og eldre - Kan ikke oppdateres. Erstatt dem.
Batterinivå - iPads trenger 50%+ batteri eller være koblet til strøm for å installere oppdateringer.
Lagringsplass - Noen oppdateringer krever 2-3GB ledig plass. Brukere med fulle enheter vil feile.

Resultat

Etter utrulling ble oppdateringene mer forutsigbare, sikkerheten bedre og behovet for manuell oppfølging lavere.

Avveininger

Avveining: dette krever mer vedlikehold av policyer, spesielt i blandede iPad-generasjoner, men for meg var stabiliteten verdt det.

Problemet#

Rammer#

Beslutning#

1. Organiserte iPads i grupper#

2. Fant enheter som ikke kunne oppdateres#

3. Opprettet DDM-oppdateringspolicy#

4. Rullet ut i faser#

Implementering#

Resultat#

Avveininger#

Relaterte lenker#