macOS デバイスの設定を構成し、Intune でカーネル拡張機能とシステム拡張機能を使用する

注:

• Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。
• macOS カーネル拡張機能は、システム拡張機能に置き換えられます。 詳細については、「 サポート ヒント: Intune で macOS Catalina 10.15 のカーネル拡張機能ではなくシステム拡張機能を使用する」を参照してください。

この記事では、macOS デバイスで制御できるさまざまなカーネルとシステム拡張機能の設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、デバイスに拡張機能を追加および管理します。

この機能は、以下に適用されます:

• macOS

Intune の拡張機能と前提条件の詳細については、 macOS 拡張機能の追加に関するページを参照してください。

これらの設定は、Intune のデバイス構成プロファイルに追加されてから macOS デバイスに割り当てまたは展開されます。

開始する前に

• macOS 拡張機能デバイス構成プロファイルを作成します。
• これらの設定は、さまざまな登録の種類に適用されます。 さまざまな登録の種類の詳細については、「 macOS 登録」を参照してください。

カーネル拡張機能

この機能は、以下に適用されます。

• macOS 10.13.2 以降

知っておく必要があること

• カーネル拡張機能は、m1 チップを搭載した macOS デバイスでは機能しません。これは、Apple シリコンで実行されている macOS デバイスです。 この動作は既知の問題であり、ETA はありません。

• 10.15 以降を実行している macOS デバイスの場合は、 システム拡張機能 (この記事で) を使用することをお勧めします。 カーネル拡張機能の設定を使用する場合は、M1 チップを搭載した macOS デバイスがカーネル拡張機能プロファイルを受信しないようにすることを検討してください。

設定の適用対象: ユーザーが承認したデバイス登録、デバイスの自動登録

注:

チーム識別子とカーネル拡張機能を追加する必要はありません。 どちらか一方を構成できます。

• [ユーザーのオーバーライドを許可する]: [はい] を 使用すると、構成プロファイルに含まれていないカーネル拡張機能をユーザーが承認できます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが構成プロファイルに含まれていない拡張機能を許可できない場合があります。 つまり、構成プロファイルに含まれる拡張機能のみが許可されます。

  この機能の詳細については、「 ユーザーが承認したカーネル拡張機能の読み込み (Apple の Web サイトを開く)」を参照してください。

• 許可されるチーム識別子: この設定を使用して、1 つまたは複数のチーム ID を許可します。 入力したチーム ID で署名されたカーネル拡張機能はすべて許可され、信頼されます。 つまり、このオプションを使用して、同じチーム ID 内のすべてのカーネル拡張機能を許可します。これは、特定の開発者またはパートナーである可能性があります。

  読み込む有効なカーネル拡張機能と署名済みカーネル拡張機能のチーム識別子を入力します。 複数のチーム識別子を追加できます。 チーム識別子は英数字 (文字と数字) で、10 文字である必要があります。 たとえば、「ABCDE12345」と入力します。

  チーム識別子を追加した後、削除することもできます。

  チーム ID を見つけます (Apple の Web サイトが開きます)、詳細情報が表示されます。

  ヒント

  チーム ID は、ローカル KextPolicy データベースに格納されます。 チーム ID は、同じアプリがインストールされている macOS デバイスから sqlite3 コマンドを使用して取得できます。

  1. macOS デバイスでターミナル アプリを開き、次のスクリプトを実行します。

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • この例では、ボリューム名は Macintosh HD です。 ボリューム名でスクリプトを更新します。
     • ルート アクセス権があることを確認し、デバイスで SUDO コマンドを実行できます。

  2. 出力を確認します。 最初のエントリはチーム ID です。 この例では、チーム ID は次 PXPZ95SK77。

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• 許可されるカーネル拡張機能: この設定を使用して、特定のカーネル拡張機能を許可します。 入力したカーネル拡張機能のみが許可または信頼されます。

  読み込むカーネル拡張機能のバンドル識別子とチーム識別子を入力します。 署名されていないレガシ カーネル拡張機能の場合は、空のチーム識別子を使用します。 複数のカーネル拡張機能を追加できます。 チーム識別子は英数字 (文字と数字) で、10 文字である必要があります。 たとえば、[バンドル ID] に「com.contoso.appname.macos」と入力し、[チーム ID] に「ABCDE12345」と入力します。

  ヒント

  macOS デバイスでカーネル拡張機能 (Kext) のバンドル ID を取得するには、次の操作を行います。

  1. ターミナル アプリで、 kextstat | grep -v com.appleを実行し、出力をメモします。 必要なソフトウェアまたは Kext をインストールします。 kextstat | grep -v com.appleをもう一度実行し、変更を探します。

     ターミナル アプリで、os 上のすべてのカーネル拡張機能の一覧を kextstat します。

  2. デバイスで、Kext の Information Property List ファイル (Info.plist) を開きます。 バンドル ID が表示されます。 各 Kext には、Info.plist ファイルが格納されています。

システム拡張機能

この機能は、以下に適用されます。

• macOS 10.15 以降

設定の適用対象: ユーザーが承認したデバイス登録、デバイスの自動登録

注:

許可されたシステム拡張機能と許可されたチーム識別子に同じチーム ID を追加すると、エラーが発生し、プロファイルが失敗する可能性があります。 両方の設定に同じ正確なチーム識別子を追加しないでください。

• [ユーザーのオーバーライドをブロックする]: [はい] にすると 、ユーザーは許可リストに含まれていないシステム拡張機能を承認できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、構成プロファイルに含まれていない不明な拡張機能をユーザーが承認できる場合があります。 つまり、構成プロファイルに含まれていない拡張機能は許可されます。

• 許可されるチーム識別子: この設定を使用して、1 つまたは複数のチーム ID を許可します。 入力したチーム ID で署名されたシステム拡張機能は、常に許可され、信頼されます。 つまり、このオプションを使用して、同じチーム ID 内のすべてのシステム拡張機能 (特定の開発者またはパートナー) を許可します。

  読み込む有効なシステム拡張機能と署名済みシステム拡張機能の チーム識別子 を入力します。 複数のチーム識別子を追加できます。 チーム識別子は英数字 (文字と数字) で、10 文字である必要があります。 たとえば、「ABCDE12345」と入力します。

  チーム識別子を追加した後、削除することもできます。

  チーム ID を見つけます (Apple の Web サイトが開きます)、詳細情報が表示されます。

  ヒント

  アプリケーションがインストールされている mac からチーム ID を取得することもできます

  ターミナル アプリで、次のコマンドを実行します。

  systemextensionsctl list

  出力を書き留めます。

  例えば。 UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  最初のエントリは、必要なチーム ID です。 UBF8T346G9 この例では

• 許可されるシステム拡張機能: この設定を使用して、常に特定のシステム拡張機能を許可します。 入力したシステム拡張機能のみが許可または信頼されます。

  読み込むシステム拡張機能の バンドル識別子 と チーム識別子 を入力します。 署名されていないレガシ システム拡張機能の場合は、空のチーム識別子を使用します。 複数のシステム拡張機能を追加できます。 チーム識別子は英数字 (文字と数字) で、10 文字である必要があります。 たとえば、[バンドル ID] に「com.contoso.appname.macos」と入力し、[チーム ID] に「ABCDE12345」と入力します。

• 許可されるシステム拡張機能の種類: チーム ID とシステム拡張機能の種類を入力して、そのチーム ID を許可します。

  • チーム識別子: 特定の拡張機能の種類を許可する別のシステム拡張機能のチーム ID を入力します。 または、[ 許可されたシステム拡張機能] に追加したチーム ID を入力します。

  • 許可されるシステム拡張機能の種類: 各チーム ID を許可するシステム拡張機能の種類を選択します。 次のようなオプションがあります。

    • すべて選択
    • ドライバー拡張機能
    • ネットワーク拡張機能
    • エンドポイント セキュリティ拡張機能

    これらの拡張機能の種類の詳細については、「 システム拡張機能 (Apple の Web サイトを開く)」を参照してください。

    [ 許可されたシステム拡張機能 ] の一覧からチーム ID を追加し、特定の拡張機能の種類を許可できます。 拡張機能が許可されていない型の場合、拡張機能が実行されない可能性があります。

    チーム ID のすべての拡張機能の種類を許可するには、[ 許可されたシステム拡張機能 ] の一覧にチーム ID を追加します。 [ 許可されたシステム拡張機能の種類 ] の一覧にチーム ID を追加しないでください。 つまり、チーム ID が [許可されたシステム拡張機能 ] リストにあり、[ 許可されているシステム拡張機能の種類 ] の一覧にない場合、そのチーム ID に対してすべての拡張機能の種類が許可されます。

関連記事

プロファイルを割り当て、その状態を監視します。