MacOS-systeem- en kernelextensies toevoegen in Intune
Op macOS-apparaten kunt u kernelextensies en systeemextensies toevoegen. Met zowel kernelextensies als systeemextensies kunnen gebruikers app-extensies installeren die de systeemeigen mogelijkheden van het besturingssysteem uitbreiden. Kernelextensies voeren hun code uit op kernelniveau. Systeemextensies worden uitgevoerd in een strikt beheerde gebruikersruimte.
Opmerking
macOS-kernelextensies worden vervangen door systeemextensies. Ga voor meer informatie naar Ondersteuningstip: Systeemextensies gebruiken in plaats van kernelextensies voor macOS Catalina 10.15 in Intune.
Als u extensies wilt toevoegen die altijd op uw apparaten mogen worden geladen, gebruikt u Microsoft Intune. Intune maakt gebruik van configuratieprofielen om deze instellingen te maken en aan te passen aan de behoeften van uw organisatie. Nadat u deze functies in een beleid hebt toegevoegd, pusht of implementeert u het beleid op macOS-apparaten in uw organisatie.
Deze functie is van toepassing op:
- macOS
In dit artikel worden systeemextensies en kernelextensies beschreven. U ziet ook hoe u een apparaatconfiguratiebeleid maakt met behulp van kernelextensies in Intune.
Systeemextensies
Systeemextensies worden uitgevoerd in de gebruikersruimte en hebben geen toegang tot de kernel. Hun doel is om de beveiliging te verbeteren, meer controle voor eindgebruikers te bieden en aanvallen op kernelniveau te beperken. Deze extensies kunnen zijn:
- Stuurprogramma-extensies, waaronder stuurprogramma's voor USB, netwerkinterfacekaarten (NIC), seriële controllers en human interface-apparaten (HID)
- Netwerkextensies, waaronder inhoudsfilters, DNS-proxy's en VPN-clients
- Eindpuntbeveiligingsextensies, waaronder eindpuntdetectie, eindpuntrespons en antivirus
Systeemextensies worden opgenomen in de bundel van een app en geïnstalleerd vanuit de app. U schrijft met name uw systeemextensie en verpakt de extensie vervolgens in uw app-bundel. Ga voor meer informatie naar systeemextensies (hiermee opent u de website van Apple).
Wanneer de app met de systeemextensie gereed is, kunt u de app implementeren met behulp van Microsoft Intune. Ga voor meer informatie naar Apps toevoegen aan Microsoft Intune.
Kernelextensies
Opmerking
macOS-kernelextensies worden vervangen door systeemextensies. Ga voor meer informatie naar Ondersteuningstip: Systeemextensies gebruiken in plaats van kernelextensies voor macOS Catalina 10.15 in Intune.
Kernelextensies voegen functies toe op kernelniveau. Deze functies hebben toegang tot onderdelen van het besturingssysteem waartoe reguliere programma's geen toegang hebben. Ze kunnen worden gebruikt als uw organisatie specifieke behoeften of vereisten heeft die niet beschikbaar zijn in een app of apparaatfunctie.
U hebt bijvoorbeeld een virusscanprogramma waarmee uw apparaat wordt gescand op schadelijke inhoud. U kunt de kernelextensie van dit virusscanprogramma toevoegen als een toegestane kernelextensie in Intune. Wijs vervolgens de extensie toe aan uw macOS-apparaten.
Met deze functie kunnen beheerders toestaan dat gebruikers kernelextensies overschrijven, team-id's toevoegen en specifieke kernelextensies toevoegen in Intune.
Ga voor meer informatie over kernelextensies naar kernelextensies (hiermee opent u de website van Apple).
Belangrijk
Kernelextensies werken niet op macOS-apparaten met de M1-chip. Dit zijn macOS-apparaten met Apple-silicium. Dit gedrag is een bekend probleem, zonder ETA. Het is mogelijk dat u ze aan het werk kunt krijgen, maar dit wordt niet aanbevolen. Ga voor meer informatie naar Kernelextensies in macOS (hiermee opent u de website van Apple).
Voor macOS-apparaten met 10.15 en hoger raden we u aan systeemextensies te gebruiken (in dit artikel). Als u de instellingen voor kernelextensies gebruikt, kunt u overwegen macOS-apparaten met M1-chips uit te sluiten van het ontvangen van het kernelextensiesprofiel.
Vereisten
Deze functie is van toepassing op:
- macOS 10.13.2 en hoger (kernelextensies)
- macOS 10.15 en hoger (systeemextensies)
Van macOS 10.15 tot 10.15.4 kunnen kernelextensies en systeemextensies naast elkaar worden uitgevoerd.
Als u deze functie wilt gebruiken, moeten apparaten:
Ingeschreven bij Intune met behulp van Automated Device Enrollment (ADE), voorheen Device Enrollment Program (DEP) genoemd. Ga voor meer informatie over deze inschrijvingsoptie naar:
- Automatische apparaatinschrijving (ADE) voor macOS-apparaten
- MacOS-apparaten automatisch inschrijven
OF
Ingeschreven bij Intune met apparaatinschrijving, ook wel bekend als door de gebruiker goedgekeurde inschrijving. Deze inschrijvingsmethode is gebruikelijk op apparaten in persoonlijk eigendom. Ga voor meer informatie over deze inschrijvingsoptie naar:
- BYOD: Apparaatinschrijving voor macOS-apparaten
- Voorbereiden op wijzigingen in kernelextensies in macOS High Sierra (hiermee opent u de website van Apple)
Ga naar Inschrijvingshandleiding: MacOS-apparaten inschrijven in Microsoft Intune voor meer informatie over de inschrijvingsopties voor macOS-apparaten.
-
Als u het beleid wilt maken, meldt u zich minimaal aan bij het Microsoft Intune-beheercentrum met een account met de ingebouwde rol Beleid en Profielbeheer. Ga naar Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie over de ingebouwde rollen.
Wat u moet weten
- Niet-ondertekende verouderde kernelextensies en systeemextensies kunnen worden toegevoegd.
- Zorg ervoor dat u de juiste team-id en bundel-id van de extensie invoert. Intune valideert de waarden die u invoert niet. Als u verkeerde gegevens invoert, werkt de extensie niet op het apparaat. Een team-id is precies 10 alfanumerieke tekens lang.
Opmerking
Apple heeft informatie vrijgegeven over ondertekening en notarisatie voor alle software. Op macOS 10.14.5 en hoger hoeven kernelextensies die zijn geïmplementeerd via Intune niet te voldoen aan het notarisatiebeleid van Apple.
Ga naar de volgende bronnen voor informatie over dit notarisatiebeleid en eventuele updates of wijzigingen:
- Uw app notariseren vóór distributie (hiermee opent u de website van Apple)
- Voorbereiden op wijzigingen in kernelextensies in macOS High Sierra (hiermee opent u de website van Apple)
Het kernelextensiebeleid maken
Belangrijk
Deze sjabloon voor macOS-extensies is afgeschaft in de servicerelease van augustus 2024 (2408). Bestaande beleidsregels blijven werken. U kunt echter geen nieuw beleid maken met behulp van deze sjabloon.
Gebruik in plaats daarvan de instellingencatalogus om nieuw beleid te maken waarmee de nettolading van de systeemextensie wordt geconfigureerd. Ga naar instellingencatalogus voor meer informatie over de instellingencatalogus.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.
Geef de volgende eigenschappen op:
- Platform: selecteer macOS
- Profieltype: Selecteer Sjablonenextensies>.
Selecteer Maken.
Voer in Basisinformatie de volgende eigenschappen in:
- Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld macOS-AV-scannen met behulp van kernelextensies.
- Beschrijving: voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.
Selecteer Volgende.
Configureer uw instellingen in Configuratie-instellingen:
Selecteer Volgende.
Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals
US-NC IT TeamofJohnGlenn_ITDepartment. Ga voor meer informatie over bereiktags naar RBAC en bereiktags gebruiken voor gedistribueerde IT.Selecteer Volgende.
Selecteer in Toewijzingen de gebruikers of groepen die uw profiel ontvangen. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.
Selecteer Volgende.
Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.
Middelen
Zorg ervoor dat u het profiel toewijst en de status ervan bewaakt.