Кто может обновлять macOS?

Вопрос простой: кто может обновлять macOS?

Многие считают, что обновление macOS требует прав администратора. Однако в ряде сценариев стандартный пользователь вполне способен выполнить обновление системы. Ниже разберемся, как это работает и с какого момента Apple изменила правила игры.

Upgrade или update?

Хотя эти два слова нередко используют как синонимы, но между ними есть разница.

Update — это обновление macOS в рамках одной основной версии: например, с 26.0.1 до 26.1 или 26.2.
Upgrade — переход на новую мажорную версию системы, скажем, с 15.7.2 (macOS Sequoia) на 26.2 (macOS Tahoe).

Далее в материале «апгрейдом» мы будем называть переход на мажорную версию, а «обновлением» — переход минорную.

Apple до сих пор разделяет эти понятия*, хотя на практике граница между update и upgrade со временем заметно размылась.

*Термины «upgrade» и «update» в русской версии статьи https://support.apple.com/ru-ru/108382 переводятся как «обновление» и «улучшение», но так вроде бы никто не говорит.

До выхода macOS 12.3 апгрейды и обновления действительно различались. Для перехода Mac на новую мажорную версию macOS (например, с 15.7.3 Sequoia до macOS Tahoe 26.1) нужен был  полноценный установщик: его нужно было скачать и запустить вручную. А для подтверждения установки обязательно требовалось ввести логин и пароль пользователя с правами локального администратора. Обновления же в плане установки были меньше и проще. Они загружались через системную настройку Software Update (Обновление ПО) и могли устанавливаться любым пользователем (за исключением гостевой учетной записи — Guest).

В течение последних трех лет при переходе на Ventura, Sonoma, Sequoia и теперь Tahoe Apple по возможности выполняет апгрейды macOS не через полноценный установщик, а так же как и обычные обновления. Такой подход заметно быстрее: данных нужно скачать меньше, их не приходится долго распаковывать и устанавливать. При этом Apple по-прежнему утверждает, что «перед началом установки система запрашивает пароль администратора». На практике это уже не соответствует действительности, даже на Mac с Apple Silicon.

Кто может обновлять macOS?

Чтобы пользователь мог обновлять macOS, должны выполняться два условия:

• на этом Mac у него должна быть стандартная или административная учетная запись;

• он должен быть владельцем группы загрузочных томов (boot volume group), которая подлежит обновлению.

Первый пользователь на этом Mac, он же основной администратор, получает Secure Token, который позволяет ему стать владельцем группы загрузочных томов на внутреннем SSD компьютера.

Права владения дают возможность:

• изменять политику безопасности загрузки (Startup Security Policy) для этой группы томов с помощью утилиты безопасной загрузки (Startup Security Utility) в режиме восстановления (Recovery);

• разрешать установку обновлений и апгрейдов macOS;

• запускать стирание данных с помощью механизма Erase All Content and Settings (EACAS);

• назначать Secure Token и передавать статус владельца другим пользователям.

Когда основной администратор создает на Mac еще одну учетную запись, то ей автоматически передаются Secure Token и права владения, даже если это всего лишь стандартный пользователь. Благодаря этому такие пользователи могут автоматически разблокировать FileVault при входе в систему и подтверждать установку обновлений macOS. А поскольку апгрейды macOS теперь выполняются тем же механизмом, что и обычные обновления, стандартные пользователи, чьи пароли способны разблокировать FileVault (если он включен), могут разрешать установку не только обновлений, но и апгрейдов macOS.

Что об этом говорят остальные?

В поисках ответа на этот вопрос вы можете наткнуться на устаревшие статьи еще до выхода macOS 12.3, которые явно повлияли на Google AI. Вот что там написано:

«Любой пользователь с Secure Token и правами владения томом может устанавливать минорные обновления macOS (например, с 14.1 на 14.2), но для апгрейдов (мажорных обновлений, например, Sonoma → Sequoia) обычно все еще требуется пароль администратора, если только устройство не управляется организацией с определенными политиками MDM, которые дают права стандартным пользователям. По сути стандартные пользователи могут обновлять систему, но мажорные обновления требуют прав администратора, хотя MDM может это обойти.»

(К слову, Grok даже не понял вопрос и просто перечислил модели Mac, которые можно обновить до Tahoe.)

На самом деле это утверждение неактуально больше трех лет, но оно по-прежнему широко тиражируется.

Что с этим делать?

Если вы хотите дать другому пользователю доступ к вашему Mac как обычному пользователю, но не хотите, чтобы он обновлял и/или апгрейдил macOS, вам придется объяснить ему это и предостеречь от уловок Apple, которые подталкивают пользователей к апгрейду.

В корпоративной среде с помощью MDM (например, Ринго) можно отложить нежелательные обновления, у нас даже есть статья по ��тому поводу —