Udostępnij za pośrednictwem

Ustawienia urządzenia z systemem macOS do konfigurowania i używania rozszerzeń jądra i systemu w Intune

  • Artykuł

Ważna

Ten szablon jest przestarzały w wersji usługi z sierpnia 2024 r. (2408). Istniejące zasady nadal działają. Nie można jednak tworzyć nowych zasad przy użyciu tego szablonu.

Zamiast tego użyj wykazu ustawień, aby utworzyć nowe zasady, które konfigurują ładunek rozszerzenia systemu. Aby dowiedzieć się więcej o katalogu ustawień, przejdź do katalogu ustawień systemu macOS.

Uwaga

W tym artykule opisano różne ustawienia jądra i rozszerzenia systemu, które można kontrolować na urządzeniach z systemem macOS. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby dodawać rozszerzenia na urządzeniach i zarządzać nimi.

Ta funkcja ma zastosowanie do:

  • macOS

Aby dowiedzieć się więcej na temat rozszerzeń w Intune i wszelkich wymagań wstępnych, przejdź do tematu Dodawanie rozszerzeń systemu macOS.

Te ustawienia są dodawane do profilu konfiguracji urządzenia w Intune, a następnie przypisywane lub wdrażane na urządzeniach z systemem macOS.

Przed rozpoczęciem

Rozszerzenia jądra

Ta funkcja ma zastosowanie do:

  • System macOS 10.13.2 i nowsze

Co musisz wiedzieć

  • Rozszerzenia jądra nie działają na urządzeniach z systemem macOS z mikroukładem M1, które są urządzeniami z systemem macOS działającymi na silikonie firmy Apple. To zachowanie jest znanym problemem bez eta.

  • W przypadku wszystkich urządzeń z systemem macOS z systemem 10.15 lub nowszym zalecamy używanie rozszerzeń systemowych (w tym artykule). Jeśli używasz ustawień rozszerzeń jądra, rozważ wykluczenie urządzeń z systemem macOS z mikroukładami M1 z otrzymywania profilu rozszerzeń jądra.

Ustawienia dotyczą: rejestracja urządzeń zatwierdzonych przez użytkownika, automatyczna rejestracja urządzeń

Uwaga

Nie musisz dodawać identyfikatorów zespołu ani rozszerzeń jądra. Można skonfigurować jedną lub drugą.

  • Zezwalaj na przesłonięcia użytkowników: Wartość Tak umożliwia użytkownikom zatwierdzanie rozszerzeń jądra, które nie są uwzględnione w profilu konfiguracji. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwiać użytkownikom zezwalanie na rozszerzenia, które nie są uwzględnione w profilu konfiguracji. Oznacza to, że dozwolone są tylko rozszerzenia zawarte w profilu konfiguracji.

    Aby uzyskać więcej informacji na temat tej funkcji, przejdź do ładowania rozszerzenia jądra zatwierdzonego przez użytkownika (otwiera witrynę internetową firmy Apple).

  • Dozwolone identyfikatory zespołu: użyj tego ustawienia, aby zezwolić na co najmniej jeden identyfikator zespołu. Wszelkie rozszerzenia jądra podpisane przy użyciu wprowadzonych identyfikatorów zespołu są dozwolone i zaufane. Innymi słowy, użyj tej opcji, aby zezwolić na wszystkie rozszerzenia jądra w ramach tego samego identyfikatora zespołu, który może być określonym deweloperem lub partnerem.

    Wprowadź identyfikator zespołu prawidłowych i podpisanych rozszerzeń jądra do załadowania. Możesz dodać wiele identyfikatorów zespołu. Identyfikator zespołu musi być alfanumeryczny (litery i cyfry) i zawierać 10 znaków. Na przykład wprowadź ABCDE12345.

    Po dodaniu identyfikatora zespołu można go również usunąć.

    Znajdź swój identyfikator zespołu (otwiera witrynę internetową firmy Apple) zawiera więcej informacji.

    Porada

    Identyfikator zespołu jest przechowywany w lokalnej bazie danych KextPolicy. Identyfikator zespołu można uzyskać za pomocą sqlite3 polecenia z urządzenia z systemem macOS z zainstalowaną tą samą aplikacją:

    1. Na urządzeniu z systemem macOS otwórz aplikację Terminal i uruchom następujący skrypt:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • W naszym przykładzie nazwa woluminu to Macintosh HD. Zaktualizuj skrypt przy użyciu nazwy woluminu.
      • Upewnij się, że masz dostęp do katalogu głównego i możesz uruchomić SUDO polecenie na urządzeniu.

    2. Przejrzyj dane wyjściowe. Pierwszym wpisem jest identyfikator zespołu. W naszym przykładzie identyfikator zespołu to PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Dozwolone rozszerzenia jądra: użyj tego ustawienia, aby zezwolić na określone rozszerzenia jądra. Dozwolone lub zaufane są tylko wprowadzone rozszerzenia jądra.

    Wprowadź identyfikator pakietu i identyfikator zespołu rozszerzenia jądra do załadowania. W przypadku niepodpisanych starszych rozszerzeń jądra użyj pustego identyfikatora zespołu. Możesz dodać wiele rozszerzeń jądra. Identyfikator zespołu musi być alfanumeryczny (litery i cyfry) i zawierać 10 znaków. Na przykład wprowadź wartość com.contoso.appname.macosIdentyfikator pakietu i ABCDE12345identyfikator zespołu.

    Porada

    Aby uzyskać identyfikator pakietu rozszerzenia jądra (Kext) na urządzeniu z systemem macOS, możesz:

    1. W aplikacji Terminal uruchom polecenie kextstat | grep -v com.applei zanotuj dane wyjściowe. Zainstaluj żądane oprogramowanie lub narzędzie Kext. Uruchom kextstat | grep -v com.apple ponownie i poszukaj zmian.

      W aplikacji kextstat Terminal wyświetla listę wszystkich rozszerzeń jądra w systemie operacyjnym.

    2. Na urządzeniu otwórz plik Lista właściwości informacji (Info.plist) dla pliku Kext. Zostanie wyświetlony identyfikator pakietu. W każdym pliku Kext jest przechowywany plik Info.plist.

Rozszerzenia systemu

Ta funkcja ma zastosowanie do:

  • System macOS 10.15 i nowsze

Ustawienia dotyczą: rejestracja urządzeń zatwierdzonych przez użytkownika, automatyczna rejestracja urządzeń

Uwaga

Dodanie tego samego identyfikatora zespołu dla dozwolonych rozszerzeń systemowych i identyfikatorów dozwolonego zespołu może spowodować błąd i niepowodzenie profilu. Nie należy dodawać dokładnie tego samego identyfikatora zespołu do obu ustawień.

  • Blokuj przesłonięcia użytkowników: Wartość Tak uniemożliwia użytkownikom zatwierdzanie rozszerzeń systemowych, które nie znajdują się na liście dozwolonych. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na zatwierdzanie nieznanych rozszerzeń nieuwzględnianych w profilu konfiguracji. Oznacza to, że rozszerzenia, które nie są uwzględnione w profilu konfiguracji, są dozwolone.

  • Dozwolone identyfikatory zespołu: użyj tego ustawienia, aby zezwolić na co najmniej jeden identyfikator zespołu. Wszystkie rozszerzenia systemowe podpisane przy użyciu wprowadzonych identyfikatorów zespołu są zawsze dozwolone i zaufane. Innymi słowy, użyj tej opcji, aby zezwolić na wszystkie rozszerzenia systemu w ramach tego samego identyfikatora zespołu, który może być określonym deweloperem lub partnerem.

    Wprowadź identyfikator zespołu prawidłowych i podpisanych rozszerzeń systemowych do załadowania. Możesz dodać wiele identyfikatorów zespołu. Identyfikator zespołu musi być alfanumeryczny (litery i cyfry) i zawierać 10 znaków. Na przykład wprowadź ABCDE12345.

    Po dodaniu identyfikatora zespołu można go również usunąć.

    Znajdź swój identyfikator zespołu (otwiera witrynę internetową firmy Apple) zawiera więcej informacji.

    Porada

    Możesz również pobrać identyfikator zespołu z komputera Mac, na którym zainstalowano aplikację

    W aplikacji Terminal uruchom polecenie:

    systemextensionsctl list

    i zanotuj dane wyjściowe:

    Np. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    Pierwszy wpis to potrzebny identyfikator zespołu. UBF8T346G9 w naszym przykładzie

  • Dozwolone rozszerzenia systemu: użyj tego ustawienia, aby zawsze zezwalać na określone rozszerzenia systemu. Dozwolone lub zaufane są tylko wprowadzone rozszerzenia systemowe.

    Wprowadź identyfikator pakietu i identyfikator zespołu rozszerzenia systemu do załadowania. W przypadku niepodpisanych starszych rozszerzeń systemu użyj pustego identyfikatora zespołu. Możesz dodać wiele rozszerzeń systemowych. Identyfikator zespołu musi być alfanumeryczny (litery i cyfry) i zawierać 10 znaków. Na przykład wprowadź wartość com.contoso.appname.macosIdentyfikator pakietu i ABCDE12345identyfikator zespołu.

  • Dozwolone typy rozszerzeń systemu: wprowadź identyfikator zespołu i typy rozszerzeń systemu, aby zezwolić na ten identyfikator zespołu:

    • Identyfikator zespołu: wprowadź identyfikator zespołu innego rozszerzenia systemu, na które chcesz zezwolić na określone typy rozszerzeń. Możesz też wprowadzić identyfikator zespołu dodany do dozwolonych rozszerzeń systemu.

    • Dozwolone typy rozszerzeń systemu: wybierz typy rozszerzeń systemu, aby zezwolić na każdy identyfikator zespołu. Dostępne opcje:

      • Zaznacz wszystko
      • Rozszerzenia sterowników
      • Rozszerzenia sieci
      • Rozszerzenia zabezpieczeń punktu końcowego

      Aby uzyskać więcej informacji na temat tych typów rozszerzeń, przejdź do pozycji Rozszerzenia systemu (otwiera witrynę internetową firmy Apple).

      Możesz dodać identyfikator zespołu z listy Dozwolone rozszerzenia systemowe i zezwolić na określony typ rozszerzenia. Jeśli rozszerzenie jest typem niedozwolonym, rozszerzenie może nie zostać uruchomione.

      Aby zezwolić na wszystkie typy rozszerzeń dla identyfikatora zespołu, dodaj identyfikator zespołu do listy Dozwolone rozszerzenia systemowe . Nie dodaj identyfikatora zespołu do listy Dozwolone typy rozszerzeń systemu . Innymi słowy, jeśli identyfikator zespołu znajduje się na liście Dozwolone rozszerzenia systemowe , a nie na liście Dozwolone typy rozszerzeń systemu , wszystkie typy rozszerzeń są dozwolone dla tego identyfikatora zespołu.

Przypisz profil i monitoruj jego stan.