Paramètres d’appareil macOS pour configurer et utiliser les extensions de noyau et système dans Intune
Importante
Ce modèle est déconseillé dans la version de service d’août 2024 (2408). Les stratégies existantes continuent de fonctionner. Toutefois, vous ne pouvez pas créer de stratégies à l’aide de ce modèle.
Utilisez plutôt le catalogue de paramètres pour créer des stratégies qui configurent la charge utile d’extension système. Pour en savoir plus sur le catalogue de paramètres, accédez au catalogue de paramètres macOS.
Remarque
- Intune peut prendre en charge davantage de paramètres que ceux répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue des paramètres.
- Les extensions de noyau macOS sont remplacées par des extensions système. Pour plus d’informations, consultez Conseil de support : Utilisation d’extensions système au lieu d’extensions de noyau pour macOS Catalina 10.15 dans Intune.
Cet article décrit les différents paramètres de noyau et d’extension système que vous pouvez contrôler sur les appareils macOS. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour ajouter et gérer des extensions sur vos appareils.
Cette fonctionnalité s’applique à :
- macOS
Pour en savoir plus sur les extensions dans Intune et sur les conditions préalables, accédez à ajouter des extensions macOS.
Ces paramètres sont ajoutés à un profil de configuration d’appareil dans Intune, puis affectés ou déployés sur vos appareils macOS.
Avant de commencer
- Créez un profil de configuration d’appareil d’extensions macOS.
- Ces paramètres s’appliquent à différents types d’inscription. Pour plus d’informations sur les différents types d’inscription, accédez à Inscription macOS.
Extensions de noyau
Cette fonctionnalité s’applique à :
- macOS 10.13.2 et versions ultérieures
Ce que vous devez savoir
Les extensions de noyau ne fonctionnent pas sur les appareils macOS avec la puce M1, qui sont des appareils macOS exécutés sur Apple Silicon. Ce comportement est un problème connu, sans ETA.
Pour tous les appareils macOS exécutant 10.15 et versions ultérieures, nous vous recommandons d’utiliser des extensions système (dans cet article). Si vous utilisez les paramètres des extensions de noyau, envisagez d’exclure les appareils macOS avec des puces M1 de recevoir le profil d’extensions de noyau.
Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils
Remarque
Vous n’avez pas besoin d’ajouter des identificateurs d’équipe et des extensions de noyau. Vous pouvez configurer l’un ou l’autre.
Autoriser les remplacements d’utilisateurs : Oui permet aux utilisateurs d’approuver les extensions de noyau non incluses dans le profil de configuration. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’autoriser les extensions non incluses dans le profil de configuration. Cela signifie que seules les extensions incluses dans le profil de configuration sont autorisées.
Pour plus d’informations sur cette fonctionnalité, consultez Chargement de l’extension de noyau approuvée par l’utilisateur (ouvre le site web d’Apple).
Identificateurs d’équipe autorisés : utilisez ce paramètre pour autoriser un ou plusieurs ID d’équipe. Toutes les extensions de noyau signées avec les ID d’équipe que vous entrez sont autorisées et approuvées. En d’autres termes, utilisez cette option pour autoriser toutes les extensions de noyau dans le même ID d’équipe, qui peut être un développeur ou un partenaire spécifique.
Entrez un identificateur d’équipe des extensions de noyau valides et signées à charger. Vous pouvez ajouter plusieurs identificateurs d’équipe. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez
ABCDE12345
.Après avoir ajouté un identificateur d’équipe, il peut également être supprimé.
Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.
Conseil
L’ID d’équipe est stocké dans la base de données KextPolicy locale. Vous pouvez obtenir l’ID d’équipe à l’aide de la
sqlite3
commande à partir d’un appareil macOS sur lequel la même application est installée :Sur l’appareil macOS, ouvrez l’application Terminal et exécutez le script suivant :
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"
- Dans notre exemple, le nom du volume est Macintosh HD. Mettez à jour le script avec le nom de votre volume.
- Vérifiez que vous disposez d’un accès racine et que vous pouvez exécuter une
SUDO
commande sur l’appareil.
Passez en revue la sortie. La première entrée est l’ID d’équipe. Dans notre exemple, l’ID d’équipe est
PXPZ95SK77
:PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
Extensions de noyau autorisées : utilisez ce paramètre pour autoriser des extensions de noyau spécifiques. Seules les extensions de noyau que vous entrez sont autorisées ou approuvées.
Entrez l’identificateur de bundle et l’identificateur d’équipe d’une extension de noyau à charger. Pour les extensions de noyau hérité non signées, utilisez un identificateur d’équipe vide. Vous pouvez ajouter plusieurs extensions de noyau. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez
com.contoso.appname.macos
pour ID de bundle etABCDE12345
pour Identificateur d’équipe.Conseil
Pour obtenir l’ID de bundle d’une extension de noyau (Kext) sur un appareil macOS, vous pouvez :
Dans l’application Terminal, exécutez
kextstat | grep -v com.apple
, puis notez la sortie. Installez le logiciel ou Kext souhaité. Réexécutezkextstat | grep -v com.apple
et recherchez les modifications.Dans l’application Terminal,
kextstat
répertorie toutes les extensions de noyau sur le système d’exploitation.Sur l’appareil, ouvrez le fichier Information Property List (Info.plist) pour un Kext. L’ID du bundle s’affiche. Chaque Kext a un fichier Info.plist stocké à l’intérieur.
Extensions système
Cette fonctionnalité s’applique à :
- macOS 10.15 et ultérieur
Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils
Remarque
L’ajout du même ID d’équipe pour extensions système autorisées et identificateurs d’équipe autorisés peut entraîner une erreur et l’échec du profil. N’ajoutez pas le même identificateur d’équipe exact aux deux paramètres.
Bloquer les remplacements d’utilisateurs : Oui empêche les utilisateurs d’approuver les extensions système qui ne figurent pas dans la liste autorisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’approuver des extensions inconnues non incluses dans le profil de configuration. Cela signifie que les extensions non incluses dans le profil de configuration sont autorisées.
Identificateurs d’équipe autorisés : utilisez ce paramètre pour autoriser un ou plusieurs ID d’équipe. Toutes les extensions système signées avec les ID d’équipe que vous entrez sont toujours autorisées et approuvées. En d’autres termes, utilisez cette option pour autoriser toutes les extensions système dans le même ID d’équipe, qui peut être un développeur ou un partenaire spécifique.
Entrez un identificateur d’équipe des extensions système valides et signées à charger. Vous pouvez ajouter plusieurs identificateurs d’équipe. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez
ABCDE12345
.Après avoir ajouté un identificateur d’équipe, il peut également être supprimé.
Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.
Conseil
Vous pouvez également obtenir l’ID d’équipe à partir d’un mac où l’application est installée.
Dans l’application Terminal, exécutez :
systemextensionsctl list
et notez la sortie :
Par exemple,
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension
La première entrée est l’ID d’équipe dont vous avez besoin.
UBF8T346G9
dans notre exempleExtensions système autorisées : utilisez ce paramètre pour toujours autoriser des extensions système spécifiques. Seules les extensions système que vous entrez sont autorisées ou approuvées.
Entrez l’identificateur d’offre groupée et l’identificateur d’équipe d’une extension système à charger. Pour les extensions système héritées non signées, utilisez un identificateur d’équipe vide. Vous pouvez ajouter plusieurs extensions système. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez
com.contoso.appname.macos
pour ID de bundle etABCDE12345
pour Identificateur d’équipe.Types d’extension système autorisés : entrez l’ID d’équipe et les types d’extension système pour autoriser cet ID d’équipe :
Identificateur d’équipe : entrez l’ID d’équipe d’une autre extension système que vous souhaitez autoriser des types d’extension spécifiques. Vous pouvez également entrer un ID d’équipe que vous avez ajouté à Extensions système autorisées.
Types d’extension système autorisés : sélectionnez les types d’extension système à autoriser pour chaque ID d’équipe. Les options disponibles sont les suivantes :
- Sélectionner tout
- Extensions de pilote
- Extensions réseau
- Extensions de sécurité de point de terminaison
Pour plus d’informations sur ces types d’extension, accédez à Extensions système (ouvre le site web d’Apple).
Vous pouvez ajouter un ID d’équipe à partir de la liste Extensions système autorisées et autoriser un type d’extension spécifique. Si l’extension est un type qui n’est pas autorisé, l’extension risque de ne pas s’exécuter.
Pour autoriser tous les types d’extension pour un ID d’équipe, ajoutez l’ID d’équipe à la liste Extensions système autorisées . N’ajoutez pas l’ID d’équipe à la liste Types d’extension système autorisés . En d’autres termes, si un ID d’équipe figure dans la liste Extensions système autorisées et non dans la liste Types d’extension système autorisés , tous les types d’extension sont autorisés pour cet ID d’équipe.