Lägga till macOS-system- och kerneltillägg i Intune

På macOS-enheter kan du lägga till kerneltillägg och systemtillägg. Både kerneltillägg och systemtillägg gör det möjligt för användare att installera apptillägg som utökar de inbyggda funktionerna i operativsystemet. Kerneltillägg kör sin kod på kernelnivå. Systemtillägg körs i ett tätt kontrollerat användarutrymme.

Obs!

macOS-kerneltillägg ersätts med systemtillägg. Mer information finns i Supporttips: Använda systemtillägg i stället för kerneltillägg för macOS Catalina 10.15 i Intune.

Om du vill lägga till tillägg som alltid tillåts att läsas in på dina enheter använder du Microsoft Intune. Intune använder konfigurationsprofiler för att skapa och anpassa inställningarna efter organisationens behov. När du har lagt till dessa funktioner i en princip skickar eller distribuerar du sedan principen till macOS-enheter i din organisation.

Den här funktionen gäller för:

• macOS

Den här artikeln beskriver systemtillägg och kerneltillägg. Den visar också hur du skapar en enhetskonfigurationsprincip med hjälp av kerneltillägg i Intune.

Systemtillägg

Systemtillägg körs i användarutrymmet och har inte åtkomst till kerneln. Målet är att öka säkerheten, ge mer kontroll över slutanvändaren och begränsa attacker på kernelnivå. Dessa tillägg kan vara:

• Drivrutinstillägg, inklusive drivrutiner till USB, nätverkskort (NIC), seriestyrenheter och enheter med mänskligt gränssnitt (HID)
• Nätverkstillägg, inklusive innehållsfilter, DNS-proxyservrar och VPN-klienter
• Slutpunktssäkerhetstillägg, inklusive slutpunktsidentifiering, slutpunktssvar och antivirus

Systemtillägg ingår i en apps paket och installeras från appen. Mer specifikt skriver du systemtillägget och paketera sedan tillägget i apppaketet. Mer information finns i systemtillägg (öppnar Apples webbplats).

När appen med systemtillägget är klar kan du distribuera appen med hjälp av Microsoft Intune. Mer information finns i Lägg till appar i Microsoft Intune.

Kerneltillägg

Obs!

macOS-kerneltillägg ersätts med systemtillägg. Mer information finns i Supporttips: Använda systemtillägg i stället för kerneltillägg för macOS Catalina 10.15 i Intune.

Kerneltillägg lägger till funktioner på kernelnivå. Dessa funktioner har åtkomst till delar av operativsystemet som vanliga program inte kan komma åt. De kan användas om din organisation har specifika behov eller krav som inte är tillgängliga i en app eller en enhetsfunktion.

Du har till exempel ett virusgenomsökningsprogram som söker igenom enheten efter skadligt innehåll. Du kan lägga till det här virusgenomsökningsprogrammets kerneltillägg som ett tillåtet kerneltillägg i Intune. Tilldela sedan tillägget till dina macOS-enheter.

Med den här funktionen kan administratörer tillåta användare att åsidosätta kerneltillägg, lägga till teamidentifierare och lägga till specifika kerneltillägg i Intune.

Mer information om kerneltillägg finns i kerneltillägg (öppnar Apples webbplats).

Viktigt

Kerneltillägg fungerar inte på macOS-enheter med M1-chipet, som är macOS-enheter som körs på Apple-kisel. Det här beteendet är ett känt problem, utan ETA. Det är möjligt att du kan få dem att fungera, men det rekommenderas inte. Mer information finns i Kernel-tillägg i macOS (öppnar Apples webbplats).

För alla macOS-enheter som kör 10.15 och senare rekommenderar vi att du använder systemtillägg (i den här artikeln). Om du använder inställningarna för kerneltillägg bör du överväga att undanta macOS-enheter med M1-chips från att ta emot profilen för kerneltillägg.

Förhandskrav

• Den här funktionen gäller för:

  • macOS 10.13.2 och senare (kerneltillägg)
  • macOS 10.15 och senare (systemtillägg)

  Från macOS 10.15 till 10.15.4 kan kerneltillägg och systemtillägg köras sida vid sida.

• Om du vill använda den här funktionen måste enheterna vara:

  • Har registrerats i Intune med hjälp av automatisk enhetsregistrering (ADE), tidigare kallat Program för enhetsregistrering (DEP). Mer information om det här registreringsalternativet finns i:

    • Automatisk enhetsregistrering (ADE) för macOS-enheter
    • Registrera macOS-enheter automatiskt

    ELLER

  • Registrerad i Intune med enhetsregistrering, även kallat användargodkänd registrering. Den här registreringsmetoden är vanlig på personligt ägda enheter. Mer information om det här registreringsalternativet finns i:

    • BYOD: Enhetsregistrering för macOS-enheter
    • Förbereda för ändringar av kerneltillägg i macOS High Sierra (öppnar Apples webbplats)

  Mer information om registreringsalternativen för macOS-enheter finns i Registreringsguide: Registrera macOS-enheter i Microsoft Intune.

• Om du vill skapa principen loggar du minst in på Microsoft Intune administrationscenter med ett konto som har den inbyggda rollen Princip- och Profilhanterare. Mer information om de inbyggda rollerna finns i Rollbaserad åtkomstkontroll för Microsoft Intune.

Vad du behöver veta

• Osignerade äldre kerneltillägg och systemtillägg kan läggas till.
• Se till att ange rätt teamidentifierare och paket-ID för tillägget. Intune verifierar inte de värden som du anger. Om du anger fel information fungerar inte tillägget på enheten. En teamidentifierare är exakt 10 alfanumeriska tecken lång.

Obs!

Apple släppte information om signering och notarisering för all programvara. På macOS 10.14.5 och senare behöver kerneltillägg som distribueras via Intune inte uppfylla Apples notariseringsprincip.

Information om den här notariseringsprincipen och eventuella uppdateringar eller ändringar finns i följande resurser:

• Notarisera din app före distribution (öppnar Apples webbplats)
• Förbereda för ändringar av kerneltillägg i macOS High Sierra (öppnar Apples webbplats)

Skapa principen för kerneltillägg

Viktigt

Den här mallen för macOS-tillägg är inaktuell i tjänstversionen augusti 2024 (2408). Befintliga principer fortsätter att fungera. Men du kan inte skapa nya principer med den här mallen.

Använd i stället inställningskatalogen för att skapa nya principer som konfigurerar nyttolasten för systemtillägget. Mer information om inställningskatalogen finns i inställningskatalogen.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

3. Ange följande egenskaper:

   • Plattform: Välj macOS
   • Profiltyp: Välj Malltillägg>.

4. Välj Skapa.

5. Ange följande egenskaper i Grundinställningar:

   • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel macOS-AV-skanning med hjälp av kerneltillägg.
   • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.

6. Välj Nästa.

7. I Konfigurationsinställningar konfigurerar du inställningarna:

   • macOS

8. Välj Nästa.

9. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT.

   Välj Nästa.

10. Under Tilldelningar väljer du de användare eller grupper som ska ta emot din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

11. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Resurser

Se till att tilldela profilen och övervaka dess status.