Параметры устройства macOS для настройки и использования расширений ядра и системы в Intune
Важно!
Этот шаблон не рекомендуется использовать в выпуске службы за август 2024 г. (2408). Существующие политики продолжают работать. Но вы не можете создать новые политики с помощью этого шаблона.
Вместо этого используйте каталог параметров для создания новых политик, которые настраивают полезные данные расширения системы. Дополнительные сведения о каталоге параметров см. в каталоге параметров macOS.
Примечание.
- Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.
- Расширения ядра macOS заменяются системными расширениями. Дополнительные сведения см. в разделе Совет по поддержке: использование системных расширений вместо расширений ядра для macOS Catalina 10.15 в Intune.
В этой статье описываются различные параметры расширения ядра и системы, которые можно контролировать на устройствах macOS. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры для добавления расширений на устройствах и управления ими.
Данная функция применяется к:
- macOS
Дополнительные сведения о расширениях в Intune и предварительных требованиях см. в статье Добавление расширений macOS.
Эти параметры добавляются в профиль конфигурации устройства в Intune, а затем назначаются или развертываются на устройствах macOS.
Подготовка к работе
- Создайте профиль конфигурации устройства расширений macOS.
- Эти параметры применяются к разным типам регистрации. Дополнительные сведения о различных типах регистрации см. в статье Регистрация macOS.
Расширения ядра
Данная функция применяется к:
- macOS 10.13.2 и более поздней версии
Что необходимо знать
Расширения ядра не работают на устройствах macOS с микросхемой M1, которые являются устройствами macOS, работающими на кремнии Apple. Это известная проблема без ETA.
Для любых устройств macOS под управлением версии 10.15 и более поздней версии рекомендуется использовать системные расширения (в этой статье). Если вы используете параметры расширений ядра, рассмотрите возможность исключения устройств macOS с микросхемами M1 из получения профиля расширений ядра.
Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств
Примечание.
Вам не нужно добавлять идентификаторы команд и расширения ядра. Можно настроить одно или другое.
Разрешить переопределения пользователей. Да позволяет пользователям утверждать расширения ядра, не включенные в профиль конфигурации. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может запретить пользователям разрешать расширения, не включенные в профиль конфигурации. Это означает, что разрешены только расширения, включенные в профиль конфигурации.
Дополнительные сведения об этой функции см. в статье Загрузка расширения ядра, утвержденного пользователем (откроется веб-сайт Apple).
Разрешенные идентификаторы команд. Используйте этот параметр, чтобы разрешить один или несколько идентификаторов команд. Любые расширения ядра, подписанные идентификаторами команды, которые вы вводите, разрешены и являются доверенными. Иными словами, используйте этот параметр, чтобы разрешить все расширения ядра в пределах одного идентификатора команды, которым может быть конкретный разработчик или партнер.
Введите идентификатор команды допустимых и подписанных расширений ядра для загрузки. Можно добавить несколько идентификаторов команд. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите
ABCDE12345
.После добавления идентификатора команды его также можно удалить.
Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).
Совет
Идентификатор команды хранится в локальной базе данных KextPolicy. Идентификатор команды можно получить с помощью
sqlite3
команды с устройства macOS, на котором установлено то же приложение:На устройстве macOS откройте приложение Терминал и выполните следующий скрипт:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"
- В нашем примере имя тома — Macintosh HD. Обновите скрипт именем тома.
- Убедитесь, что у вас есть корневой
SUDO
доступ и вы можете выполнить команду на устройстве.
Просмотрите выходные данные. Первая запись — идентификатор команды. В нашем примере идентификатором команды является
PXPZ95SK77
:PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
Разрешенные расширения ядра. Используйте этот параметр, чтобы разрешить определенные расширения ядра. Разрешены или доверенные только расширения ядра, которые вы вводите.
Введите идентификатор пакета и идентификатор команды расширения ядра для загрузки. Для неподписанных устаревших расширений ядра используйте пустой идентификатор команды. Можно добавить несколько расширений ядра. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите в поле
com.contoso.appname.macos
Идентификатор пакета, аABCDE12345
в поле Идентификатор группы.Совет
Чтобы получить идентификатор пакета расширения ядра (Kext) на устройстве macOS, можно:
В приложении Терминала запустите
kextstat | grep -v com.apple
и запишите выходные данные. Установите нужное программное обеспечение или Kext. Запуститеkextstat | grep -v com.apple
еще раз и найдите изменения.В приложении
kextstat
Терминала выводит список всех расширений ядра в ОС.На устройстве откройте файл Information Property List (Info.plist) для Kext. Отображается идентификатор пакета. Каждый kext имеет файл Info.plist, хранящийся внутри.
Системные расширения
Данная функция применяется к:
- macOS 10.15 или более поздней версии.
Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств
Примечание.
Добавление одного и того же идентификатора команды для разрешенных системных расширений и разрешенных идентификаторов команды может привести к ошибке и сбою профиля. Не добавляйте один и тот же идентификатор команды в оба параметра.
Блокировать переопределения пользователей. Значение Да запрещает пользователям утверждать системные расширения, которые не указаны в списке разрешенных. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям утверждать неизвестные расширения, не включенные в профиль конфигурации. Это означает, что расширения, не включенные в профиль конфигурации, разрешены.
Разрешенные идентификаторы команд. Используйте этот параметр, чтобы разрешить один или несколько идентификаторов команд. Любые системные расширения, подписанные идентификаторами команды, которые вы вводите, всегда разрешены и являются доверенными. Иными словами, используйте этот параметр, чтобы разрешить все системные расширения в пределах одного идентификатора команды, которым может быть конкретный разработчик или партнер.
Введите идентификатор команды допустимых и подписанных системных расширений для загрузки. Можно добавить несколько идентификаторов команд. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите
ABCDE12345
.После добавления идентификатора команды его также можно удалить.
Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).
Совет
Вы также можете получить идентификатор команды с компьютера Mac, на котором установлено приложение.
В приложении Терминала выполните следующую команду:
systemextensionsctl list
и обратите внимание на выходные данные:
Например.
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension
Первая запись — это необходимый идентификатор команды.
UBF8T346G9
в нашем примереРазрешенные системные расширения. Используйте этот параметр, чтобы всегда разрешать определенные системные расширения. Разрешены или доверенные только системные расширения, которые вы вводите.
Введите идентификатор пакета и идентификатор группы системного расширения для загрузки. Для неподписанных устаревших системных расширений используйте пустой идентификатор команды. Можно добавить несколько системных расширений. Идентификатор команды должен быть буквенно-цифровым (буквы и цифры) и содержать 10 символов. Например, введите в поле
com.contoso.appname.macos
Идентификатор пакета, аABCDE12345
в поле Идентификатор группы.Допустимые типы расширений системы. Введите идентификатор команды и типы расширений системы, чтобы разрешить этот идентификатор команды:
Идентификатор команды. Введите идентификатор команды другого системного расширения, которое вы хотите разрешить для определенных типов расширений. Или введите идентификатор команды, добавленный в раздел Разрешенные системные расширения.
Разрешенные типы расширений системы. Выберите типы расширений системы, которые следует разрешить для каждого идентификатора команды. Доступны следующие параметры:
- Выбрать все
- Расширения драйверов
- Расширения сети
- Расширения безопасности конечных точек
Дополнительные сведения об этих типах расширений см. в разделе Расширения системы (открывается веб-сайт Apple).
Вы можете добавить идентификатор команды из списка Разрешенные системные расширения и разрешить определенный тип расширения. Если расширение является недопустимым типом, оно может не запускаться.
Чтобы разрешить все типы расширений для идентификатора команды, добавьте идентификатор команды в список Разрешенные системные расширения . Не добавляйте идентификатор команды в список Разрешенные системные типы расширений . Другими словами, если идентификатор команды находится в списке Разрешенные системные расширения , а не в списке Разрешенные системные типы расширений , то для этого идентификатора команды разрешены все типы расширений.