Incorporación de extensiones de kernel y sistema macOS en Intune

En dispositivos macOS, puede agregar extensiones de kernel y extensiones del sistema. Tanto las extensiones de kernel como las extensiones del sistema permiten a los usuarios instalar extensiones de aplicación que amplían las funcionalidades nativas del sistema operativo. Las extensiones de kernel ejecutan su código en el nivel de kernel. Las extensiones del sistema se ejecutan en un espacio de usuario estrechamente controlado.

Nota:

Las extensiones del kernel de macOS se reemplazan por extensiones del sistema. Para obtener más información, vaya a Sugerencia de soporte técnico: Uso de extensiones del sistema en lugar de extensiones de kernel para macOS Catalina 10.15 en Intune.

Para agregar extensiones que siempre pueden cargarse en los dispositivos, use Microsoft Intune. Intune usa perfiles de configuración para crear y personalizar estas configuraciones para las necesidades de su organización. Después de agregar estas características a una directiva, inserte o implemente la directiva en dispositivos macOS de la organización.

Esta característica se aplica a:

• macOS

En este artículo se describen las extensiones del sistema y las extensiones de kernel. También se muestra cómo crear una directiva de configuración de dispositivos mediante extensiones de kernel en Intune.

Extensiones del sistema

Las extensiones del sistema se ejecutan en el espacio de usuario y no tienen acceso al kernel. Su objetivo es aumentar la seguridad, proporcionar más control de usuario final y limitar los ataques de nivel de kernel. Estas extensiones pueden ser:

• Extensiones de controlador, incluidos controladores a USB, tarjetas de interfaz de red (NIC), controladores serie y dispositivos de interfaz humana (HID)
• Extensiones de red, incluidos filtros de contenido, servidores proxy DNS y clientes VPN
• Extensiones de seguridad de puntos de conexión, incluida la detección de puntos de conexión, la respuesta del punto de conexión y el antivirus

Las extensiones del sistema se incluyen en la agrupación de una aplicación e se instalan desde la aplicación. En concreto, escribe la extensión del sistema y, a continuación, empaqueta la extensión en la agrupación de aplicaciones. Para obtener más información, vaya a Extensiones del sistema (abre el sitio web de Apple).

Cuando la aplicación con la extensión del sistema esté lista, puede implementarla mediante Microsoft Intune. Para obtener más información, vaya a Agregar aplicaciones a Microsoft Intune.

Extensiones de kernel

Nota:

Las extensiones del kernel de macOS se reemplazan por extensiones del sistema. Para obtener más información, vaya a Sugerencia de soporte técnico: Uso de extensiones del sistema en lugar de extensiones de kernel para macOS Catalina 10.15 en Intune.

Las extensiones de kernel agregan características en el nivel de kernel. Estas características acceden a partes del sistema operativo a las que los programas normales no pueden acceder. Se pueden usar si su organización tiene necesidades o requisitos específicos que no están disponibles en una aplicación o una característica de dispositivo.

Por ejemplo, tiene un programa de detección de virus que examina el dispositivo en busca de contenido malintencionado. Puede agregar la extensión de kernel de este programa de detección de virus como una extensión de kernel permitida en Intune. A continuación, asigne la extensión a los dispositivos macOS.

Con esta característica, los administradores pueden permitir a los usuarios invalidar extensiones de kernel, agregar identificadores de equipo y agregar extensiones de kernel específicas en Intune.

Para obtener más información sobre las extensiones de kernel, vaya a extensiones de kernel (abre el sitio web de Apple).

Importante

Las extensiones de kernel no funcionan en dispositivos macOS con el chip M1, que son dispositivos macOS que se ejecutan en apple silicon. Este comportamiento es un problema conocido, sin ETA. Es posible que pueda hacer que funcionen, pero no se recomienda. Para obtener más información, vaya a Extensiones de kernel en macOS (abre el sitio web de Apple).

Para cualquier dispositivo macOS que ejecute la versión 10.15 y posteriores, se recomienda usar extensiones del sistema (en este artículo). Si usa la configuración de extensiones de kernel, considere la posibilidad de excluir los dispositivos macOS con chips M1 de la recepción del perfil de extensiones del kernel.

Requisitos previos

• Esta característica se aplica a:

  • macOS 10.13.2 y versiones posteriores (extensiones de kernel)
  • macOS 10.15 y versiones posteriores (extensiones del sistema)

  De macOS 10.15 a 10.15.4, las extensiones de kernel y las extensiones del sistema se pueden ejecutar en paralelo.

• Para usar esta característica, los dispositivos deben ser:

  • Inscrito en Intune mediante la inscripción automatizada de dispositivos (ADE), anteriormente denominada Programa de inscripción de dispositivos (DEP). Para obtener más información sobre esta opción de inscripción, vaya a:

    • Inscripción automatizada de dispositivos (ADE) para dispositivos macOS
    • Inscripción automática de dispositivos macOS

    O

  • Inscrito en Intune mediante la inscripción de dispositivos, también conocida como inscripción aprobada por el usuario. Este método de inscripción es común en dispositivos de propiedad personal. Para obtener más información sobre esta opción de inscripción, vaya a:

    • BYOD: Inscripción de dispositivos para dispositivos macOS
    • Preparar los cambios en las extensiones del kernel en macOS High Sierra (abre el sitio web de Apple)

  Para obtener más información sobre las opciones de inscripción para dispositivos macOS, vaya a Guía de inscripción: Inscribir dispositivos macOS en Microsoft Intune.

• Para crear la directiva, como mínimo, inicie sesión en el centro de administración de Microsoft Intune con una cuenta que tenga el rol integrado Administrador de perfiles y directivas. Para obtener más información sobre los roles integrados, vaya a Control de acceso basado en rol para Microsoft Intune.

Aspectos que debe saber

• Se pueden agregar extensiones de kernel heredadas sin firmar y extensiones del sistema.
• Asegúrese de escribir el identificador de equipo y el identificador de lote correctos de la extensión. Intune no valida los valores especificados. Si escribe información incorrecta, la extensión no funcionará en el dispositivo. Un identificador de equipo tiene exactamente 10 caracteres alfanuméricos.

Nota:

Apple publicó información sobre firma y notarización para todo el software. En macOS 10.14.5 y versiones posteriores, las extensiones de kernel implementadas a través de Intune no tienen que cumplir la directiva de notarización de Apple.

Para obtener información sobre esta directiva de notarización y las actualizaciones o cambios, vaya a los siguientes recursos:

• Notarizar la aplicación antes de la distribución (abre el sitio web de Apple)
• Preparar los cambios en las extensiones del kernel en macOS High Sierra (abre el sitio web de Apple)

Creación de la directiva de extensión del kernel

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Creaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione macOS
   • Tipo de perfil: seleccioneExtensiones de plantillas>.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es el examen de macOS-AV mediante extensiones de kernel.
   • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Configuración, configure las opciones:

   • macOS

8. Seleccione Siguiente.

9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de RBAC y etiquetas de ámbito para TI distribuida.

   Seleccione Siguiente.

10. En Asignaciones, seleccione los usuarios o grupos que van a recibir su perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Recursos

Asegúrese de asignar el perfil y supervise su estado.