Поделиться через


Параметры устройства macOS для настройки и использования расширений ядра и системы в Intune

Важно!

Этот шаблон не рекомендуется использовать в выпуске службы за август 2024 г. (2408). Существующие политики продолжают работать. Но вы не можете создать новые политики с помощью этого шаблона.

Вместо этого используйте каталог параметров для создания новых политик, которые настраивают полезные данные расширения системы. Дополнительные сведения о каталоге параметров см. в каталоге параметров macOS.

Примечание.

В этой статье описываются различные параметры расширения ядра и системы, которые можно контролировать на устройствах macOS. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры для добавления расширений на устройствах и управления ими.

Данная функция применяется к:

  • macOS

Дополнительные сведения о расширениях в Intune и предварительных требованиях см. в статье Добавление расширений macOS.

Эти параметры добавляются в профиль конфигурации устройства в Intune, а затем назначаются или развертываются на устройствах macOS.

Подготовка к работе

Расширения ядра

Данная функция применяется к:

  • macOS 10.13.2 и более поздней версии

Что необходимо знать

  • Расширения ядра не работают на устройствах macOS с микросхемой M1, которые являются устройствами macOS, работающими на кремнии Apple. Это известная проблема без ETA.

  • Для любых устройств macOS под управлением версии 10.15 и более поздней версии рекомендуется использовать системные расширения (в этой статье). Если вы используете параметры расширений ядра, рассмотрите возможность исключения устройств macOS с микросхемами M1 из получения профиля расширений ядра.

Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств

Примечание.

Вам не нужно добавлять идентификаторы команд и расширения ядра. Можно настроить одно или другое.

  • Разрешить переопределения пользователей. Да позволяет пользователям утверждать расширения ядра, не включенные в профиль конфигурации. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может запретить пользователям разрешать расширения, не включенные в профиль конфигурации. Это означает, что разрешены только расширения, включенные в профиль конфигурации.

    Дополнительные сведения об этой функции см. в статье Загрузка расширения ядра, утвержденного пользователем (откроется веб-сайт Apple).

  • Разрешенные идентификаторы команд. Используйте этот параметр, чтобы разрешить один или несколько идентификаторов команд. Любые расширения ядра, подписанные идентификаторами команды, которые вы вводите, разрешены и являются доверенными. Иными словами, используйте этот параметр, чтобы разрешить все расширения ядра в пределах одного идентификатора команды, которым может быть конкретный разработчик или партнер.

    Введите идентификатор команды допустимых и подписанных расширений ядра для загрузки. Можно добавить несколько идентификаторов команд. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите ABCDE12345.

    После добавления идентификатора команды его также можно удалить.

    Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).

    Совет

    Идентификатор команды хранится в локальной базе данных KextPolicy. Идентификатор команды можно получить с помощью sqlite3 команды с устройства macOS, на котором установлено то же приложение:

    1. На устройстве macOS откройте приложение Терминал и выполните следующий скрипт:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • В нашем примере имя тома — Macintosh HD. Обновите скрипт именем тома.
      • Убедитесь, что у вас есть корневой SUDO доступ и вы можете выполнить команду на устройстве.
    2. Просмотрите выходные данные. Первая запись — идентификатор команды. В нашем примере идентификатором команды является PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Разрешенные расширения ядра. Используйте этот параметр, чтобы разрешить определенные расширения ядра. Разрешены или доверенные только расширения ядра, которые вы вводите.

    Введите идентификатор пакета и идентификатор команды расширения ядра для загрузки. Для неподписанных устаревших расширений ядра используйте пустой идентификатор команды. Можно добавить несколько расширений ядра. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите в поле com.contoso.appname.macosИдентификатор пакета, а ABCDE12345 в поле Идентификатор группы.

    Совет

    Чтобы получить идентификатор пакета расширения ядра (Kext) на устройстве macOS, можно:

    1. В приложении Терминала запустите kextstat | grep -v com.appleи запишите выходные данные. Установите нужное программное обеспечение или Kext. Запустите kextstat | grep -v com.apple еще раз и найдите изменения.

      В приложении kextstat Терминала выводит список всех расширений ядра в ОС.

    2. На устройстве откройте файл Information Property List (Info.plist) для Kext. Отображается идентификатор пакета. Каждый kext имеет файл Info.plist, хранящийся внутри.

Системные расширения

Данная функция применяется к:

  • macOS 10.15 или более поздней версии.

Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств

Примечание.

Добавление одного и того же идентификатора команды для разрешенных системных расширений и разрешенных идентификаторов команды может привести к ошибке и сбою профиля. Не добавляйте один и тот же идентификатор команды в оба параметра.

  • Блокировать переопределения пользователей. Значение Да запрещает пользователям утверждать системные расширения, которые не указаны в списке разрешенных. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям утверждать неизвестные расширения, не включенные в профиль конфигурации. Это означает, что расширения, не включенные в профиль конфигурации, разрешены.

  • Разрешенные идентификаторы команд. Используйте этот параметр, чтобы разрешить один или несколько идентификаторов команд. Любые системные расширения, подписанные идентификаторами команды, которые вы вводите, всегда разрешены и являются доверенными. Иными словами, используйте этот параметр, чтобы разрешить все системные расширения в пределах одного идентификатора команды, которым может быть конкретный разработчик или партнер.

    Введите идентификатор команды допустимых и подписанных системных расширений для загрузки. Можно добавить несколько идентификаторов команд. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите ABCDE12345.

    После добавления идентификатора команды его также можно удалить.

    Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).

    Совет

    Вы также можете получить идентификатор команды с компьютера Mac, на котором установлено приложение.

    В приложении Терминала выполните следующую команду:

    systemextensionsctl list

    и обратите внимание на выходные данные:

    Например. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    Первая запись — это необходимый идентификатор команды. UBF8T346G9 в нашем примере

  • Разрешенные системные расширения. Используйте этот параметр, чтобы всегда разрешать определенные системные расширения. Разрешены или доверенные только системные расширения, которые вы вводите.

    Введите идентификатор пакета и идентификатор группы системного расширения для загрузки. Для неподписанных устаревших системных расширений используйте пустой идентификатор команды. Можно добавить несколько системных расширений. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите в поле com.contoso.appname.macosИдентификатор пакета, а ABCDE12345 в поле Идентификатор группы.

  • Допустимые типы расширений системы. Введите идентификатор команды и типы расширений системы, чтобы разрешить этот идентификатор команды:

    • Идентификатор команды. Введите идентификатор команды другого системного расширения, которое вы хотите разрешить для определенных типов расширений. Или введите идентификатор команды, добавленный в раздел Разрешенные системные расширения.

    • Разрешенные типы расширений системы. Выберите типы расширений системы, которые следует разрешить для каждого идентификатора команды. Доступны следующие параметры:

      • Выбрать все
      • Расширения драйверов
      • Расширения сети
      • Расширения безопасности конечных точек

      Дополнительные сведения об этих типах расширений см. в разделе Расширения системы (открывается веб-сайт Apple).

      Вы можете добавить идентификатор команды из списка Разрешенные системные расширения и разрешить определенный тип расширения. Если расширение является недопустимым типом, оно может не запускаться.

      Чтобы разрешить все типы расширений для идентификатора команды, добавьте идентификатор команды в список Разрешенные системные расширения . Не добавляйте идентификатор команды в список Разрешенные системные типы расширений . Другими словами, если идентификатор команды находится в списке Разрешенные системные расширения , а не в списке Разрешенные системные типы расширений , то для этого идентификатора команды разрешены все типы расширений.

Назначьте профиль и отслеживайте его состояние.