Condividi tramite

Impostazioni del dispositivo macOS per configurare e usare le estensioni kernel e di sistema in Intune

  • Articolo

Importante

Questo modello è deprecato nella versione del servizio di agosto 2024 (2408). I criteri esistenti continuano a funzionare. Tuttavia, non è possibile creare nuovi criteri usando questo modello.

Usare invece il catalogo delle impostazioni per creare nuovi criteri che configurano il payload dell'estensione di sistema. Per altre informazioni sul catalogo delle impostazioni, passare al catalogo delle impostazioni di macOS.

Nota

Questo articolo descrive le diverse impostazioni del kernel e dell'estensione di sistema che è possibile controllare nei dispositivi macOS. Nell'ambito della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per aggiungere e gestire le estensioni nei dispositivi.

Questa funzionalità si applica a:

  • macOS

Per altre informazioni sulle estensioni in Intune ed eventuali prerequisiti, vedere Aggiungere estensioni macOS.

Queste impostazioni vengono aggiunte a un profilo di configurazione del dispositivo in Intune e quindi assegnate o distribuite ai dispositivi macOS.

Prima di iniziare

Estensioni del kernel

Questa funzionalità si applica a:

  • macOS 10.13.2 e versioni successive

Informazioni importanti

  • Le estensioni del kernel non funzionano nei dispositivi macOS con il chip M1, ovvero i dispositivi macOS in esecuzione nel silicio Apple. Questo comportamento è un problema noto, senza ETA.

  • Per tutti i dispositivi macOS che eseguono 10.15 e versioni successive, è consigliabile usare le estensioni di sistema (in questo articolo). Se si usano le impostazioni delle estensioni del kernel, è consigliabile escludere i dispositivi macOS con chip M1 dalla ricezione del profilo delle estensioni del kernel.

Le impostazioni si applicano a: Registrazione del dispositivo approvata dall'utente, Registrazione automatica dei dispositivi

Nota

Non è necessario aggiungere identificatori del team ed estensioni del kernel. È possibile configurare uno o l'altro.

  • Consenti sostituzioni utente: consente agli utenti di approvare le estensioni del kernel non incluse nel profilo di configurazione. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe impedire agli utenti di consentire estensioni non incluse nel profilo di configurazione. Ciò significa che sono consentite solo le estensioni incluse nel profilo di configurazione.

    Per altre informazioni su questa funzionalità, passare al caricamento dell'estensione del kernel approvato dall'utente (apre il sito Web di Apple).

  • Identificatori team consentiti: usare questa impostazione per consentire uno o più ID team. Tutte le estensioni del kernel firmate con gli ID team immessi sono consentite e attendibili. In altre parole, usare questa opzione per consentire tutte le estensioni del kernel all'interno dello stesso ID team, che può essere uno sviluppatore o un partner specifico.

    Immettere un identificatore del team di estensioni del kernel valide e firmate da caricare. È possibile aggiungere più identificatori del team. L'identificatore del team deve essere alfanumerico (lettere e numeri) e avere 10 caratteri. Immettere ad esempio ABCDE12345.

    Dopo aver aggiunto un identificatore del team, è anche possibile eliminarlo.

    Individuare l'ID team (apre il sito Web di Apple) con altre informazioni.

    Consiglio

    L'ID team viene archiviato nel database KextPolicy locale. È possibile ottenere l'ID team usando il sqlite3 comando da un dispositivo macOS in cui è installata la stessa app:

    1. Nel dispositivo macOS aprire l'app Terminale ed eseguire lo script seguente:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • Nell'esempio il nome del volume è Macintosh HD. Aggiornare lo script con il nome del volume.
      • Assicurarsi di avere accesso alla radice e di poter eseguire un SUDO comando nel dispositivo.

    2. Esaminare l'output. La prima voce è l'ID team. Nell'esempio, l'ID team è PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Estensioni del kernel consentite: usare questa impostazione per consentire estensioni del kernel specifiche. Solo le estensioni del kernel immesse sono consentite o attendibili.

    Immettere l'identificatore del bundle e l'identificatore del team di un'estensione del kernel da caricare. Per le estensioni del kernel legacy non firmate, usare un identificatore del team vuoto. È possibile aggiungere più estensioni del kernel. L'identificatore del team deve essere alfanumerico (lettere e numeri) e avere 10 caratteri. Ad esempio, immettere com.contoso.appname.macos per ID bundle e ABCDE12345 per Identificatore team.

    Consiglio

    Per ottenere l'ID bundle di un'estensione del kernel (Kext) in un dispositivo macOS, è possibile:

    1. Nell'app Terminale eseguire kextstat | grep -v com.applee prendere nota dell'output. Installare il software o Kext desiderato. Eseguire kextstat | grep -v com.apple di nuovo e cercare le modifiche.

      Nell'app kextstat Terminale vengono elencate tutte le estensioni del kernel nel sistema operativo.

    2. Nel dispositivo aprire il file Information Property List (Info.plist) per un Kext. Viene visualizzato l'ID bundle. In ogni Kext è archiviato un file Info.plist.

Estensioni di sistema

Questa funzionalità si applica a:

  • macOS 10.15 e versioni successive

Le impostazioni si applicano a: Registrazione del dispositivo approvata dall'utente, Registrazione automatica dei dispositivi

Nota

L'aggiunta dello stesso ID team per le estensioni di sistema consentite e gli identificatori del team consentiti può causare un errore e il profilo ha esito negativo. Non aggiungere lo stesso identificatore del team esatto a entrambe le impostazioni.

  • Blocca sostituzioni utente: impedisce agli utenti di approvare le estensioni di sistema non incluse nell'elenco consentito. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di approvare estensioni sconosciute non incluse nel profilo di configurazione. Ciò significa che le estensioni non incluse nel profilo di configurazione sono consentite.

  • Identificatori del team consentiti: usare questa impostazione per consentire uno o più ID team. Tutte le estensioni di sistema firmate con gli ID team immessi sono sempre consentite e attendibili. In altre parole, usare questa opzione per consentire tutte le estensioni di sistema all'interno dello stesso ID team, che può essere uno sviluppatore o un partner specifico.

    Immettere un identificatore del team di estensioni di sistema valide e firmate da caricare. È possibile aggiungere più identificatori del team. L'identificatore del team deve essere alfanumerico (lettere e numeri) e avere 10 caratteri. Immettere ad esempio ABCDE12345.

    Dopo aver aggiunto un identificatore del team, è anche possibile eliminarlo.

    Individuare l'ID team (apre il sito Web di Apple) con altre informazioni.

    Consiglio

    È anche possibile ottenere l'ID team da un mac in cui è installata l'applicazione

    Nell'app Terminale eseguire:

    systemextensionsctl list

    e prendere nota dell'output:

    Ad esempio, UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    La prima voce è l'ID team necessario. UBF8T346G9 nell'esempio

  • Estensioni di sistema consentite: usare questa impostazione per consentire sempre estensioni di sistema specifiche. Solo le estensioni di sistema immesse sono consentite o attendibili.

    Immettere l'identificatore bundle e l'identificatore del team di un'estensione di sistema da caricare. Per le estensioni di sistema legacy non firmate, usare un identificatore del team vuoto. È possibile aggiungere più estensioni di sistema. L'identificatore del team deve essere alfanumerico (lettere e numeri) e avere 10 caratteri. Ad esempio, immettere com.contoso.appname.macos per ID bundle e ABCDE12345 per Identificatore team.

  • Tipi di estensione di sistema consentiti: immettere l'ID team e i tipi di estensione di sistema per consentire tale ID team:

    • Identificatore del team: immettere l'ID team di un'altra estensione di sistema che si desidera consentire tipi di estensione specifici. In alternativa, immettere un ID team aggiunto alle estensioni di sistema consentite.

    • Tipi di estensione di sistema consentiti: selezionare i tipi di estensione di sistema per consentire ogni ID team. Le opzioni disponibili sono:

      • Seleziona tutto
      • Estensioni driver
      • Estensioni di rete
      • Estensioni di sicurezza degli endpoint

      Per altre informazioni su questi tipi di estensione, passare a Estensioni di sistema (apre il sito Web di Apple).

      È possibile aggiungere un ID team dall'elenco Delle estensioni di sistema consentite e consentire un tipo di estensione specifico. Se l'estensione è un tipo non consentito, l'estensione potrebbe non essere eseguita.

      Per consentire tutti i tipi di estensione per un ID team, aggiungere l'ID team all'elenco Delle estensioni di sistema consentite . Non aggiungere l'ID team all'elenco Tipi di estensione di sistema consentiti . In altre parole, se un ID team è incluso nell'elenco Delle estensioni di sistema consentite e non nell'elenco Tipi di estensione di sistema consentiti , tutti i tipi di estensione sono consentiti per tale ID team.

Assegnare il profilo e monitorarne lo stato.