Hinzufügen von macOS-System- und Kernelerweiterungen in Intune

Auf macOS-Geräten können Sie Kernelerweiterungen und Systemerweiterungen hinzufügen. Sowohl Kernel- als auch Systemerweiterungen ermöglichen es Benutzern, App-Erweiterungen zu installieren, die die nativen Funktionen des Betriebssystems erweitern. Kernelerweiterungen führen ihren Code auf Kernelebene aus. Systemerweiterungen werden in einem streng kontrollierten Benutzerbereich ausgeführt.

Hinweis

macOS-Kernelerweiterungen werden durch Systemerweiterungen ersetzt. Weitere Informationen findest du unter Supporttipp: Verwenden von Systemerweiterungen anstelle von Kernelerweiterungen für macOS Catalina 10.15 in Intune.

Um Erweiterungen hinzuzufügen, die immer auf Ihren Geräten geladen werden dürfen, verwenden Sie Microsoft Intune. Intune verwendet Konfigurationsprofile zum Erstellen und Anpassen dieser Einstellungen für die Anforderungen Ihrer Organisation. Nachdem Sie diese Features in einer Richtlinie hinzugefügt haben, pushen Oder stellen Sie die Richtlinie auf macOS-Geräten in Ihrem organization bereit.

Diese Funktion gilt für:

• macOS

In diesem Artikel werden Systemerweiterungen und Kernelerweiterungen beschrieben. Außerdem wird gezeigt, wie Sie eine Gerätekonfigurationsrichtlinie mithilfe von Kernelerweiterungen in Intune erstellen.

Systemerweiterungen

Systemerweiterungen werden im Benutzerbereich ausgeführt und greifen nicht auf den Kernel zu. Ihr Ziel ist es, die Sicherheit zu erhöhen, den Endbenutzern mehr Kontrolle zu bieten und Angriffe auf Kernelebene zu begrenzen. Diese Erweiterungen können sein:

• Treibererweiterungen, einschließlich Treiber für USB, Netzwerkschnittstellenkarten (NIC), serielle Controller und Human Interface Devices (HID)
• Netzwerkerweiterungen, einschließlich Inhaltsfiltern, DNS-Proxys und VPN-Clients
• Endpunktsicherheitserweiterungen, einschließlich Endpunkterkennung, Endpunktantwort und Antivirus

Systemerweiterungen sind im Paket einer App enthalten und über die App installiert. Insbesondere schreiben Sie Ihre Systemerweiterung und packen die Erweiterung dann in Ihr App-Bündel. Weitere Informationen finden Sie unter Systemerweiterungen (öffnet die Website von Apple).

Wenn die App mit der Systemerweiterung bereit ist, können Sie die App mithilfe von Microsoft Intune bereitstellen. Weitere Informationen findest du unter Hinzufügen von Apps zu Microsoft Intune.

Kernelerweiterungen

Hinweis

macOS-Kernelerweiterungen werden durch Systemerweiterungen ersetzt. Weitere Informationen findest du unter Supporttipp: Verwenden von Systemerweiterungen anstelle von Kernelerweiterungen für macOS Catalina 10.15 in Intune.

Kernelerweiterungen fügen Features auf Kernelebene hinzu. Diese Features greifen auf Teile des Betriebssystems zu, auf die reguläre Programme nicht zugreifen können. Sie können verwendet werden, wenn Ihr organization bestimmte Anforderungen oder Anforderungen aufweist, die in einer App oder einem Gerätefeature nicht verfügbar sind.

Beispielsweise verfügen Sie über ein Virenscanprogramm, das Ihr Gerät auf schädliche Inhalte überprüft. Sie können die Kernelerweiterung dieses Virenscanprogramms als zulässige Kernelerweiterung in Intune hinzufügen. Weisen Sie die Erweiterung dann Ihren macOS-Geräten zu.

Mit diesem Feature können Administratoren Benutzern das Überschreiben von Kernelerweiterungen, das Hinzufügen von Teambezeichnern und das Hinzufügen bestimmter Kernelerweiterungen in Intune ermöglichen.

Weitere Informationen zu Kernelerweiterungen finden Sie unter Kernelerweiterungen (öffnet die Website von Apple).

Wichtig

Kernelerweiterungen funktionieren nicht auf macOS-Geräten mit dem M1-Chip, bei denen es sich um macOS-Geräte handelt, die auf Apple Silicon ausgeführt werden. Dieses Verhalten ist ein bekanntes Problem ohne ETA. Es ist möglich, dass Sie sie zum Arbeiten bringen können, aber es wird nicht empfohlen. Weitere Informationen finden Sie unter Kernel-Erweiterungen in macOS (öffnet die Website von Apple).

Für alle macOS-Geräte mit Version 10.15 und höher empfehlen wir die Verwendung von Systemerweiterungen (in diesem Artikel). Wenn Sie die Kernelerweiterungseinstellungen verwenden, sollten Sie macOS-Geräte mit M1-Chips vom Empfang des Kernelerweiterungsprofils ausschließen.

Voraussetzungen

• Diese Funktion gilt für:

  • macOS 10.13.2 und höher (Kernel-Erweiterungen)
  • macOS 10.15 und höher (Systemerweiterungen)

  Von macOS 10.15 bis 10.15.4 können Kernelerweiterungen und Systemerweiterungen nebeneinander ausgeführt werden.

• Um dieses Feature verwenden zu können, müssen Geräte wie folgt sein:

  • Bei Intune mithilfe der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) registriert, zuvor als Programm zur Geräteregistrierung (Device Enrollment Program, DEP) bezeichnet. Weitere Informationen zu dieser Registrierungsoption findest du unter:

    • Automatisierte Geräteregistrierung (ADE) für macOS-Geräte
    • Automatisches Registrieren von macOS-Geräten

    ODER

  • Registriert in Intune mithilfe der Geräteregistrierung, auch bekannt als vom Benutzer genehmigte Registrierung. Diese Registrierungsmethode ist auf persönlichen Geräten üblich. Weitere Informationen zu dieser Registrierungsoption findest du unter:

    • BYOD: Geräteregistrierung für macOS-Geräte
    • Vorbereiten auf Änderungen an Kernelerweiterungen in macOS High Sierra (öffnet die Website von Apple)

  Weitere Informationen zu den Registrierungsoptionen für macOS-Geräte finden Sie unter Registrierungshandbuch: Registrieren von macOS-Geräten in Microsoft Intune.

• Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Was Sie wissen müssen

• Nicht signierte Legacy-Kernelerweiterungen und Systemerweiterungen können hinzugefügt werden.
• Achten Sie darauf, den richtigen Teambezeichner und die Bündel-ID der Erweiterung einzugeben. Intune überprüft die eingegebenen Werte nicht. Wenn Sie falsche Informationen eingeben, funktioniert die Erweiterung auf dem Gerät nicht. Ein Teambezeichner ist genau 10 alphanumerische Zeichen lang.

Hinweis

Apple hat Informationen zur Signierung und Beglaubigung für alle Software veröffentlicht. Unter macOS 10.14.5 und höher müssen Kernelerweiterungen, die über Intune bereitgestellt werden, nicht die Notarisierungsrichtlinie von Apple erfüllen.

Informationen zu dieser Notarisierungsrichtlinie und zu allen Updates oder Änderungen erhalten Sie in den folgenden Ressourcen:

• Notarisieren Ihrer App vor der Verteilung (Öffnet die Apple-Website)
• Vorbereiten auf Änderungen an Kernelerweiterungen in macOS High Sierra (öffnet die Website von Apple)

Erstellen der Kernelerweiterungsrichtlinie

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen SieGerätekonfiguration>>Erstellen aus.

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie macOS aus.
   • Profiltyp: Wählen SieVorlagenerweiterungen> aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise die macOS-AV-Überprüfung mithilfe von Kernelerweiterungen.
   • Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Konfigurieren Sie unter Konfigurationseinstellungen Ihre Einstellungen:

   • macOS

8. Wählen Sie Weiter aus.

9. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT.

   Wählen Sie Weiter aus.

10. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Ressourcen

Denken Sie daran, das Profil zuzuweisen und seinen Status zu überwachen.