macOS-Geräteeinstellungen zum Konfigurieren und Verwenden von Kernel- und Systemerweiterungen in Intune
Wichtig
Diese Vorlage ist im Dienstrelease vom August 2024 (2408) veraltet. Vorhandene Richtlinien funktionieren weiterhin. Mit dieser Vorlage können Sie jedoch keine neuen Richtlinien erstellen.
Verwenden Sie stattdessen den Einstellungskatalog, um neue Richtlinien zum Konfigurieren der Systemerweiterungsnutzlast zu erstellen. Weitere Informationen zum Einstellungskatalog finden Sie im macOS-Einstellungskatalog.
Hinweis
- Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.
- macOS-Kernelerweiterungen werden durch Systemerweiterungen ersetzt. Weitere Informationen findest du unter Supporttipp: Verwenden von Systemerweiterungen anstelle von Kernelerweiterungen für macOS Catalina 10.15 in Intune.
In diesem Artikel werden die verschiedenen Kernel- und Systemerweiterungseinstellungen beschrieben, die Sie auf macOS-Geräten steuern können. Verwenden Sie als Teil Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um Erweiterungen auf Ihren Geräten hinzuzufügen und zu verwalten.
Diese Funktion gilt für:
- macOS
Weitere Informationen zu Erweiterungen in Intune und zu allen Voraussetzungen finden Sie unter Hinzufügen von macOS-Erweiterungen.
Diese Einstellungen werden einem Gerätekonfigurationsprofil in Intune hinzugefügt und dann Ihren macOS-Geräten zugewiesen oder bereitgestellt.
Bevor Sie beginnen
- Erstellen Sie ein Gerätekonfigurationsprofil für macOS-Erweiterungen.
- Diese Einstellungen gelten für verschiedene Registrierungstypen. Weitere Informationen zu den verschiedenen Registrierungstypen findest du unter macOS-Registrierung.
Kernelerweiterungen
Diese Funktion gilt für:
- macOS 10.13.2 und höher
Was Sie wissen müssen
Kernelerweiterungen funktionieren nicht auf macOS-Geräten mit dem M1-Chip, bei denen es sich um macOS-Geräte handelt, die auf Apple Silicon ausgeführt werden. Dieses Verhalten ist ein bekanntes Problem ohne ETA.
Für alle macOS-Geräte mit Version 10.15 und höher empfehlen wir die Verwendung von Systemerweiterungen (in diesem Artikel). Wenn Sie die Kernelerweiterungseinstellungen verwenden, sollten Sie macOS-Geräte mit M1-Chips vom Empfang des Kernelerweiterungsprofils ausschließen.
Die Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung, automatisierte Geräteregistrierung
Hinweis
Sie müssen keine Teambezeichner und Kernelerweiterungen hinzufügen. Sie können die eine oder die andere konfigurieren.
Benutzerüberschreibungen zulassen: Mit ja können Benutzer Kernelerweiterungen genehmigen, die nicht im Konfigurationsprofil enthalten sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem benutzer daran hindern, Erweiterungen zuzulassen, die nicht im Konfigurationsprofil enthalten sind. Das bedeutet, dass nur Erweiterungen, die im Konfigurationsprofil enthalten sind, zulässig sind.
Weitere Informationen zu diesem Feature finden Sie unter Vom Benutzer genehmigtes Laden von Kernelerweiterungen (öffnet die Website von Apple).
Zulässige Teambezeichner: Verwenden Sie diese Einstellung, um eine oder mehrere Team-IDs zuzulassen. Alle Kernelerweiterungen, die mit den von Ihnen eingegebenen Team-IDs signiert sind, sind zulässig und vertrauenswürdig. Anders ausgedrückt: Verwenden Sie diese Option, um alle Kernelerweiterungen innerhalb derselben Team-ID zuzulassen, bei der es sich um einen bestimmten Entwickler oder Partner handelt.
Geben Sie eine Team-ID mit gültigen und signierten Kernelerweiterungen ein, die geladen werden sollen. Sie können mehrere Teambezeichner hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie beispielsweise
ABCDE12345
ein.Nachdem Sie einen Teambezeichner hinzugefügt haben, kann er auch gelöscht werden.
Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.
Tipp
Die Team-ID wird in der lokalen KextPolicy-Datenbank gespeichert. Sie können die Team-ID mithilfe des
sqlite3
Befehls von einem macOS-Gerät abrufen, auf dem dieselbe App installiert ist:Öffnen Sie auf dem macOS-Gerät die Terminal-App, und führen Sie das folgende Skript aus:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"
- In unserem Beispiel lautet der Volumename Macintosh HD. Aktualisieren Sie das Skript mit Ihrem Volumenamen.
- Stellen Sie sicher, dass Sie über Root-Zugriff verfügen und einen
SUDO
Befehl auf dem Gerät ausführen können.
Überprüfen Sie die Ausgabe. Der erste Eintrag ist die Team-ID. In unserem Beispiel lautet
PXPZ95SK77
die Team-ID :PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
Zulässige Kernelerweiterungen: Verwenden Sie diese Einstellung, um bestimmte Kernelerweiterungen zuzulassen. Nur die von Ihnen eingegebenen Kernelerweiterungen sind zulässig oder vertrauenswürdig.
Geben Sie den Paketbezeichner und den Teambezeichner einer zu ladenden Kernelerweiterung ein. Verwenden Sie für nicht signierte Legacy-Kernelerweiterungen einen leeren Teambezeichner. Sie können mehrere Kernelerweiterungen hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie
com.contoso.appname.macos
beispielsweise für Bundle-ID undABCDE12345
für Teambezeichner ein.Tipp
Um die Bundle-ID einer Kernelerweiterung (Kext) auf einem macOS-Gerät abzurufen, haben Sie folgende Möglichkeiten:
Führen Sie in der Terminal-App aus
kextstat | grep -v com.apple
, und notieren Sie sich die Ausgabe. Installieren Sie die gewünschte Software oder Kext. Führen Sie erneut auskextstat | grep -v com.apple
, und suchen Sie nach Änderungen.Listet in der Terminal-App
kextstat
alle Kernelerweiterungen auf dem Betriebssystem auf.Öffnen Sie auf dem Gerät die Datei Information Property List (Info.plist) für einen Kext. Die Bundle-ID wird angezeigt. Jede Kext enthält eine Info.plist-Datei, die darin gespeichert ist.
Systemerweiterungen
Diese Funktion gilt für:
- macOS 10.15 und neuer
Die Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung, automatisierte Geräteregistrierung
Hinweis
Das Hinzufügen derselben Team-ID für Zulässige Systemerweiterungen und Zulässige Teambezeichner kann zu einem Fehler führen, und das Profil schlägt fehl. Fügen Sie nicht in beiden Einstellungen denselben genauen Teambezeichner hinzu.
Benutzerüberschreibungen blockieren: Ja hindert Benutzer daran, Systemerweiterungen zu genehmigen, die nicht in der Liste zulässig sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, unbekannte Erweiterungen zu genehmigen, die nicht im Konfigurationsprofil enthalten sind. Das bedeutet, dass Erweiterungen, die nicht im Konfigurationsprofil enthalten sind, zulässig sind.
Zulässige Teambezeichner: Verwenden Sie diese Einstellung, um eine oder mehrere Team-IDs zuzulassen. Alle Systemerweiterungen, die mit den von Ihnen eingegebenen Team-IDs signiert sind, sind immer zulässig und vertrauenswürdig. Anders ausgedrückt: Verwenden Sie diese Option, um alle Systemerweiterungen innerhalb derselben Team-ID zuzulassen, bei der es sich um einen bestimmten Entwickler oder Partner handelt.
Geben Sie eine Team-ID mit gültigen und signierten Systemerweiterungen ein, die geladen werden sollen. Sie können mehrere Teambezeichner hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie beispielsweise
ABCDE12345
ein.Nachdem Sie einen Teambezeichner hinzugefügt haben, kann er auch gelöscht werden.
Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.
Tipp
Sie können die Team-ID auch von einem Mac abrufen, auf dem die Anwendung installiert ist.
Führen Sie in der Terminal-App Folgendes aus:
systemextensionsctl list
und notieren Sie sich die Ausgabe:
Zum Beispiel.
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension
Der erste Eintrag ist die Team-ID, die Sie benötigen.
UBF8T346G9
in unserem BeispielZulässige Systemerweiterungen: Verwenden Sie diese Einstellung, um bestimmte Systemerweiterungen immer zuzulassen. Nur die von Ihnen eingegebenen Systemerweiterungen sind zulässig oder vertrauenswürdig.
Geben Sie den Paketbezeichner und den Teambezeichner einer zu ladenden Systemerweiterung ein. Verwenden Sie für nicht signierte Legacysystemerweiterungen einen leeren Teambezeichner. Sie können mehrere Systemerweiterungen hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie
com.contoso.appname.macos
beispielsweise für Bundle-ID undABCDE12345
für Teambezeichner ein.Zulässige Systemerweiterungstypen: Geben Sie die Team-ID und die Systemerweiterungstypen ein, um diese Team-ID zuzulassen:
Teambezeichner: Geben Sie die Team-ID einer anderen Systemerweiterung ein, die Bestimmte Erweiterungstypen zulassen soll. Oder geben Sie eine Team-ID ein, die Sie zu Zulässige Systemerweiterungen hinzugefügt haben.
Zulässige Systemerweiterungstypen: Wählen Sie die Systemerweiterungstypen aus, die für jede Team-ID zugelassen werden sollen. Ihre Optionen:
- Alle auswählen
- Treibererweiterungen
- Netzwerkerweiterungen
- Endpunktsicherheitserweiterungen
Weitere Informationen zu diesen Erweiterungstypen finden Sie unter Systemerweiterungen (öffnet die Website von Apple).
Sie können eine Team-ID aus der Liste Zulässige Systemerweiterungen hinzufügen und einen bestimmten Erweiterungstyp zulassen. Wenn die Erweiterung ein typ ist, der nicht zulässig ist, wird die Erweiterung möglicherweise nicht ausgeführt.
Um alle Erweiterungstypen für eine Team-ID zuzulassen, fügen Sie die Team-ID der Liste Zulässige Systemerweiterungen hinzu. Fügen Sie die Team-ID nicht der Liste Zulässige Systemerweiterungstypen hinzu. Anders ausgedrückt: Wenn eine Team-ID in der Liste Zulässige Systemerweiterungen und nicht in der Liste Zulässige Systemerweiterungstypen enthalten ist, sind alle Erweiterungstypen für diese Team-ID zulässig.