다음을 통해 공유

Intune 커널 및 시스템 확장을 구성하고 사용하는 macOS 디바이스 설정

  • 아티클

중요

이 템플릿은 2024년 8월 서비스 릴리스(2408)에서 더 이상 사용되지 않습니다. 기존 정책은 계속 작동합니다. 그러나 이 템플릿을 사용하여 새 정책을 만들 수는 없습니다.

대신 설정 카탈로그를 사용하여 시스템 확장 페이로드를 구성하는 새 정책을 만듭니다. 설정 카탈로그에 대해 자세히 알아보려면 macOS 설정 카탈로그로 이동합니다.

참고

이 문서에서는 macOS 디바이스에서 제어할 수 있는 다양한 커널 및 시스템 확장 설정에 대해 설명합니다. MDM(모바일 디바이스 관리) 솔루션의 일부로 이러한 설정을 사용하여 디바이스에서 확장을 추가하고 관리합니다.

이 기능은 다음에 적용됩니다.

  • macOS

Intune 확장 및 필수 구성 요소에 대해 자세히 알아보려면 macOS 확장 추가를 참조하세요.

이러한 설정은 Intune 디바이스 구성 프로필에 추가된 다음 macOS 디바이스에 할당되거나 배포됩니다.

시작하기 전에

커널 확장

이 기능은 다음에 적용됩니다.

  • macOS 10.13.2 이상

기억해야 하는 사항

  • 커널 확장은 Apple 실리콘에서 실행되는 macOS 디바이스인 M1 칩이 있는 macOS 디바이스에서 작동하지 않습니다. 이 동작은 ETA 없이 알려진 문제입니다.

  • 10.15 이상을 실행하는 macOS 디바이스의 경우 시스템 확장을 사용하는 것이 좋습니다(이 문서). 커널 확장 설정을 사용하는 경우 M1 칩이 있는 macOS 디바이스를 커널 확장 프로필 수신에서 제외하는 것이 좋습니다.

설정 적용: 사용자가 승인한 디바이스 등록, 자동화된 디바이스 등록

참고

팀 식별자와 커널 확장을 추가할 필요가 없습니다. 하나 또는 다른 하나를 구성할 수 있습니다.

  • 사용자 재정의 허용: 예를 사용하면 사용자가 구성 프로필에 포함되지 않은 커널 확장을 승인할 수 있습니다. 구성되지 않음(기본값)으로 설정하면 Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 사용자가 구성 프로필에 포함되지 않은 확장을 허용하지 않을 수 있습니다. 즉, 구성 프로필에 포함된 확장만 허용됩니다.

    이 기능에 대한 자세한 내용은 사용자가 승인한 커널 확장 로드 (Apple 웹 사이트 열기)로 이동하세요.

  • 허용된 팀 식별자: 이 설정을 사용하여 하나 이상의 팀 ID를 허용합니다. 입력한 팀 ID로 서명된 커널 확장은 허용되고 신뢰할 수 있습니다. 즉, 이 옵션을 사용하여 특정 개발자 또는 파트너가 될 수 있는 동일한 팀 ID 내의 모든 커널 확장을 허용합니다.

    로드할 유효하고 서명된 커널 확장의 팀 식별자를 입력합니다. 여러 팀 식별자를 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 ABCDE12345을(를) 입력합니다.

    팀 식별자를 추가한 후 삭제할 수도 있습니다.

    팀 ID 찾기 (Apple 웹 사이트 열기)에 자세한 정보가 있습니다.

    팀 ID는 로컬 KextPolicy 데이터베이스에 저장됩니다. 동일한 앱이 설치된 macOS 디바이스에서 명령을 사용하여 sqlite3 팀 ID를 가져올 수 있습니다.

    1. macOS 디바이스에서 터미널 앱을 열고 다음 스크립트를 실행합니다.

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • 이 예제에서 볼륨 이름은 Macintosh HD입니다. 볼륨 이름으로 스크립트를 업데이트합니다.
      • 루트 액세스 권한이 있고 디바이스에서 SUDO 명령을 실행할 수 있는지 확인합니다.

    2. 출력을 검토합니다. 첫 번째 항목은 팀 ID입니다. 이 예제에서 팀 ID는 입니다 PXPZ95SK77.

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • 허용되는 커널 확장: 이 설정을 사용하여 특정 커널 확장을 허용합니다. 입력한 커널 확장만 허용되거나 신뢰할 수 있습니다.

    로드할 커널 확장의 번들 식별자 및 팀 식별자를 입력합니다. 서명되지 않은 레거시 커널 확장의 경우 빈 팀 식별자를 사용합니다. 여러 커널 확장을 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 번들 ID에 를 입력하고 ABCDE12345팀 식별자에 를 입력 com.contoso.appname.macos 합니다.

    macOS 디바이스에서 커널 확장(Kext)의 번들 ID를 가져오려면 다음을 수행할 수 있습니다.

    1. 터미널 앱에서 를 실행하고 kextstat | grep -v com.apple출력을 확인합니다. 원하는 소프트웨어 또는 Kext를 설치합니다. 를 다시 실행하고 kextstat | grep -v com.apple 변경 내용을 찾습니다.

      터미널 앱 kextstat 에서 OS의 모든 커널 확장을 나열합니다.

    2. 디바이스에서 Kext에 대한 정보 속성 목록 파일(Info.plist)을 엽니다. 번들 ID가 표시됩니다. 각 Kext에는 Info.plist 파일이 내부에 저장됩니다.

시스템 확장

이 기능은 다음에 적용됩니다.

  • macOS 10.15 이상

설정 적용: 사용자가 승인한 디바이스 등록, 자동화된 디바이스 등록

참고

허용된 시스템 확장허용된 팀 식별자에 대해 동일한 팀 ID를 추가하면 오류가 발생하여 프로필이 실패할 수 있습니다. 두 설정에 동일한 정확한 팀 식별자를 추가하지 마세요.

  • 사용자 재정의 차단: 는 사용자가 허용 목록에 없는 시스템 확장을 승인하지 못하도록 합니다. 구성되지 않음(기본값)으로 설정하면 Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 사용자가 구성 프로필에 포함되지 않은 알 수 없는 확장을 승인하도록 허용할 수 있습니다. 즉, 구성 프로필에 포함되지 않은 확장이 허용됩니다.

  • 허용된 팀 식별자: 이 설정을 사용하여 하나 이상의 팀 ID를 허용합니다. 입력한 팀 ID로 서명된 모든 시스템 확장은 항상 허용되고 신뢰할 수 있습니다. 즉, 이 옵션을 사용하여 특정 개발자 또는 파트너가 될 수 있는 동일한 팀 ID 내의 모든 시스템 확장을 허용합니다.

    로드할 유효하고 서명된 시스템 확장의 팀 식별자를 입력합니다. 여러 팀 식별자를 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 ABCDE12345을(를) 입력합니다.

    팀 식별자를 추가한 후 삭제할 수도 있습니다.

    팀 ID 찾기 (Apple 웹 사이트 열기)에 자세한 정보가 있습니다.

    애플리케이션이 설치된 mac에서 팀 ID를 가져올 수도 있습니다.

    터미널 앱에서 다음을 실행합니다.

    systemextensionsctl list

    출력을 확인합니다.

    예: UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    첫 번째 항목은 필요한 팀 ID입니다. UBF8T346G9 예제에서

  • 허용되는 시스템 확장: 이 설정을 사용하여 항상 특정 시스템 확장을 허용합니다. 입력한 시스템 확장만 허용되거나 신뢰할 수 있습니다.

    로드할 시스템 확장의 번들 식별자팀 식별자를 입력합니다. 서명되지 않은 레거시 시스템 확장의 경우 빈 팀 식별자를 사용합니다. 여러 시스템 확장을 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 번들 ID에 를 입력하고 ABCDE12345팀 식별자에 를 입력 com.contoso.appname.macos 합니다.

  • 허용되는 시스템 확장 유형: 팀 ID 및 시스템 확장 유형을 입력하여 해당 팀 ID를 허용합니다.

    • 팀 식별자: 특정 확장 유형을 허용하려는 다른 시스템 확장의 팀 ID를 입력합니다. 또는 허용된 시스템 확장에 추가한 팀 ID를 입력합니다.

    • 허용되는 시스템 확장 유형: 각 팀 ID에 대해 허용할 시스템 확장 유형을 선택합니다. 옵션은 다음과 같습니다.

      • 모두 선택
      • 드라이버 확장
      • 네트워크 확장
      • 엔드포인트 보안 확장

      이러한 확장 유형에 대한 자세한 내용은 시스템 확장 (Apple 웹 사이트 열기)을 참조하세요.

      허용된 시스템 확장 목록에서 팀 ID를 추가하고 특정 확장 유형을 허용할 수 있습니다. 확장이 허용되지 않는 형식인 경우 확장이 실행되지 않을 수 있습니다.

      팀 ID에 대한 모든 확장 유형을 허용하려면 허용된 시스템 확장 목록에 팀 ID를 추가합니다. 허용된 시스템 확장 유형 목록에 팀 ID를 추가하지 마세요. 즉, 허용된 시스템 확장 유형 목록이 아닌 허용된 시스템 확장 목록에 팀 ID가 있는 경우 해당 팀 ID에 대해 모든 확장 유형이 허용됩니다.

프로필을 할당하고, 해당 상태를 모니터링합니다.