Freigeben über


macOS-Geräteeinstellungen zum Konfigurieren und Verwenden von Kernel- und Systemerweiterungen in Intune

Wichtig

Diese Vorlage ist im Dienstrelease vom August 2024 (2408) veraltet. Vorhandene Richtlinien funktionieren weiterhin. Mit dieser Vorlage können Sie jedoch keine neuen Richtlinien erstellen.

Verwenden Sie stattdessen den Einstellungskatalog, um neue Richtlinien zum Konfigurieren der Systemerweiterungsnutzlast zu erstellen. Weitere Informationen zum Einstellungskatalog finden Sie im macOS-Einstellungskatalog.

Hinweis

In diesem Artikel werden die verschiedenen Kernel- und Systemerweiterungseinstellungen beschrieben, die Sie auf macOS-Geräten steuern können. Verwenden Sie als Teil Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um Erweiterungen auf Ihren Geräten hinzuzufügen und zu verwalten.

Diese Funktion gilt für:

  • macOS

Weitere Informationen zu Erweiterungen in Intune und zu allen Voraussetzungen finden Sie unter Hinzufügen von macOS-Erweiterungen.

Diese Einstellungen werden einem Gerätekonfigurationsprofil in Intune hinzugefügt und dann Ihren macOS-Geräten zugewiesen oder bereitgestellt.

Bevor Sie beginnen

Kernelerweiterungen

Diese Funktion gilt für:

  • macOS 10.13.2 und höher

Was Sie wissen müssen

  • Kernelerweiterungen funktionieren nicht auf macOS-Geräten mit dem M1-Chip, bei denen es sich um macOS-Geräte handelt, die auf Apple Silicon ausgeführt werden. Dieses Verhalten ist ein bekanntes Problem ohne ETA.

  • Für alle macOS-Geräte mit Version 10.15 und höher empfehlen wir die Verwendung von Systemerweiterungen (in diesem Artikel). Wenn Sie die Kernelerweiterungseinstellungen verwenden, sollten Sie macOS-Geräte mit M1-Chips vom Empfang des Kernelerweiterungsprofils ausschließen.

Die Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung, automatisierte Geräteregistrierung

Hinweis

Sie müssen keine Teambezeichner und Kernelerweiterungen hinzufügen. Sie können die eine oder die andere konfigurieren.

  • Benutzerüberschreibungen zulassen: Mit ja können Benutzer Kernelerweiterungen genehmigen, die nicht im Konfigurationsprofil enthalten sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem benutzer daran hindern, Erweiterungen zuzulassen, die nicht im Konfigurationsprofil enthalten sind. Das bedeutet, dass nur Erweiterungen, die im Konfigurationsprofil enthalten sind, zulässig sind.

    Weitere Informationen zu diesem Feature finden Sie unter Vom Benutzer genehmigtes Laden von Kernelerweiterungen (öffnet die Website von Apple).

  • Zulässige Teambezeichner: Verwenden Sie diese Einstellung, um eine oder mehrere Team-IDs zuzulassen. Alle Kernelerweiterungen, die mit den von Ihnen eingegebenen Team-IDs signiert sind, sind zulässig und vertrauenswürdig. Anders ausgedrückt: Verwenden Sie diese Option, um alle Kernelerweiterungen innerhalb derselben Team-ID zuzulassen, bei der es sich um einen bestimmten Entwickler oder Partner handelt.

    Geben Sie eine Team-ID mit gültigen und signierten Kernelerweiterungen ein, die geladen werden sollen. Sie können mehrere Teambezeichner hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie beispielsweise ABCDE12345 ein.

    Nachdem Sie einen Teambezeichner hinzugefügt haben, kann er auch gelöscht werden.

    Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.

    Tipp

    Die Team-ID wird in der lokalen KextPolicy-Datenbank gespeichert. Sie können die Team-ID mithilfe des sqlite3 Befehls von einem macOS-Gerät abrufen, auf dem dieselbe App installiert ist:

    1. Öffnen Sie auf dem macOS-Gerät die Terminal-App, und führen Sie das folgende Skript aus:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • In unserem Beispiel lautet der Volumename Macintosh HD. Aktualisieren Sie das Skript mit Ihrem Volumenamen.
      • Stellen Sie sicher, dass Sie über Root-Zugriff verfügen und einen SUDO Befehl auf dem Gerät ausführen können.
    2. Überprüfen Sie die Ausgabe. Der erste Eintrag ist die Team-ID. In unserem Beispiel lautet PXPZ95SK77die Team-ID :

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Zulässige Kernelerweiterungen: Verwenden Sie diese Einstellung, um bestimmte Kernelerweiterungen zuzulassen. Nur die von Ihnen eingegebenen Kernelerweiterungen sind zulässig oder vertrauenswürdig.

    Geben Sie den Paketbezeichner und den Teambezeichner einer zu ladenden Kernelerweiterung ein. Verwenden Sie für nicht signierte Legacy-Kernelerweiterungen einen leeren Teambezeichner. Sie können mehrere Kernelerweiterungen hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie com.contoso.appname.macos beispielsweise für Bundle-ID und ABCDE12345 für Teambezeichner ein.

    Tipp

    Um die Bundle-ID einer Kernelerweiterung (Kext) auf einem macOS-Gerät abzurufen, haben Sie folgende Möglichkeiten:

    1. Führen Sie in der Terminal-App aus kextstat | grep -v com.apple, und notieren Sie sich die Ausgabe. Installieren Sie die gewünschte Software oder Kext. Führen Sie erneut aus kextstat | grep -v com.apple , und suchen Sie nach Änderungen.

      Listet in der Terminal-App kextstat alle Kernelerweiterungen auf dem Betriebssystem auf.

    2. Öffnen Sie auf dem Gerät die Datei Information Property List (Info.plist) für einen Kext. Die Bundle-ID wird angezeigt. Jede Kext enthält eine Info.plist-Datei, die darin gespeichert ist.

Systemerweiterungen

Diese Funktion gilt für:

  • macOS 10.15 und neuer

Die Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung, automatisierte Geräteregistrierung

Hinweis

Das Hinzufügen derselben Team-ID für Zulässige Systemerweiterungen und Zulässige Teambezeichner kann zu einem Fehler führen, und das Profil schlägt fehl. Fügen Sie nicht in beiden Einstellungen denselben genauen Teambezeichner hinzu.

  • Benutzerüberschreibungen blockieren: Ja hindert Benutzer daran, Systemerweiterungen zu genehmigen, die nicht in der Liste zulässig sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, unbekannte Erweiterungen zu genehmigen, die nicht im Konfigurationsprofil enthalten sind. Das bedeutet, dass Erweiterungen, die nicht im Konfigurationsprofil enthalten sind, zulässig sind.

  • Zulässige Teambezeichner: Verwenden Sie diese Einstellung, um eine oder mehrere Team-IDs zuzulassen. Alle Systemerweiterungen, die mit den von Ihnen eingegebenen Team-IDs signiert sind, sind immer zulässig und vertrauenswürdig. Anders ausgedrückt: Verwenden Sie diese Option, um alle Systemerweiterungen innerhalb derselben Team-ID zuzulassen, bei der es sich um einen bestimmten Entwickler oder Partner handelt.

    Geben Sie eine Team-ID mit gültigen und signierten Systemerweiterungen ein, die geladen werden sollen. Sie können mehrere Teambezeichner hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie beispielsweise ABCDE12345 ein.

    Nachdem Sie einen Teambezeichner hinzugefügt haben, kann er auch gelöscht werden.

    Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.

    Tipp

    Sie können die Team-ID auch von einem Mac abrufen, auf dem die Anwendung installiert ist.

    Führen Sie in der Terminal-App Folgendes aus:

    systemextensionsctl list

    und notieren Sie sich die Ausgabe:

    Zum Beispiel. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    Der erste Eintrag ist die Team-ID, die Sie benötigen. UBF8T346G9 in unserem Beispiel

  • Zulässige Systemerweiterungen: Verwenden Sie diese Einstellung, um bestimmte Systemerweiterungen immer zuzulassen. Nur die von Ihnen eingegebenen Systemerweiterungen sind zulässig oder vertrauenswürdig.

    Geben Sie den Paketbezeichner und den Teambezeichner einer zu ladenden Systemerweiterung ein. Verwenden Sie für nicht signierte Legacysystemerweiterungen einen leeren Teambezeichner. Sie können mehrere Systemerweiterungen hinzufügen. Der Teambezeichner muss alphanumerisch (Buchstaben und Zahlen) sein und 10 Zeichen enthalten. Geben Sie com.contoso.appname.macos beispielsweise für Bundle-ID und ABCDE12345 für Teambezeichner ein.

  • Zulässige Systemerweiterungstypen: Geben Sie die Team-ID und die Systemerweiterungstypen ein, um diese Team-ID zuzulassen:

    • Teambezeichner: Geben Sie die Team-ID einer anderen Systemerweiterung ein, die Bestimmte Erweiterungstypen zulassen soll. Oder geben Sie eine Team-ID ein, die Sie zu Zulässige Systemerweiterungen hinzugefügt haben.

    • Zulässige Systemerweiterungstypen: Wählen Sie die Systemerweiterungstypen aus, die für jede Team-ID zugelassen werden sollen. Ihre Optionen:

      • Alle auswählen
      • Treibererweiterungen
      • Netzwerkerweiterungen
      • Endpunktsicherheitserweiterungen

      Weitere Informationen zu diesen Erweiterungstypen finden Sie unter Systemerweiterungen (öffnet die Website von Apple).

      Sie können eine Team-ID aus der Liste Zulässige Systemerweiterungen hinzufügen und einen bestimmten Erweiterungstyp zulassen. Wenn die Erweiterung ein typ ist, der nicht zulässig ist, wird die Erweiterung möglicherweise nicht ausgeführt.

      Um alle Erweiterungstypen für eine Team-ID zuzulassen, fügen Sie die Team-ID der Liste Zulässige Systemerweiterungen hinzu. Fügen Sie die Team-ID nicht der Liste Zulässige Systemerweiterungstypen hinzu. Anders ausgedrückt: Wenn eine Team-ID in der Liste Zulässige Systemerweiterungen und nicht in der Liste Zulässige Systemerweiterungstypen enthalten ist, sind alle Erweiterungstypen für diese Team-ID zulässig.

Weisen Sie das Profil zu, und überwachen Sie seinen Status.