configuración del dispositivo macOS para configurar y usar extensiones de kernel y sistema en Intune

  • Artículo

Nota:

En este artículo se describen las distintas configuraciones de extensión de kernel y sistema que puede controlar en dispositivos macOS. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para agregar y administrar extensiones en los dispositivos.

Esta característica se aplica a:

  • macOS

Para obtener más información sobre las extensiones en Intune y los requisitos previos, vaya a Agregar extensiones de macOS.

Esta configuración se agrega a un perfil de configuración de dispositivo en Intune y, a continuación, se asigna o implementa en los dispositivos macOS.

Antes de empezar

Extensiones de kernel

Esta característica se aplica a:

  • macOS 10.13.2 y versiones posteriores

Aspectos que debe saber

  • Las extensiones de kernel no funcionan en dispositivos macOS con el chip M1, que son dispositivos macOS que se ejecutan en apple silicon. Este comportamiento es un problema conocido, sin ETA.

  • Para cualquier dispositivo macOS que ejecute la versión 10.15 y posteriores, se recomienda usar extensiones del sistema (en este artículo). Si usa la configuración de extensiones de kernel, considere la posibilidad de excluir los dispositivos macOS con chips M1 de la recepción del perfil de extensiones del kernel.

La configuración se aplica a: Inscripción de dispositivos aprobada por el usuario, Inscripción automatizada de dispositivos

Nota:

No es necesario agregar identificadores de equipo ni extensiones de kernel. Puede configurar una u otra.

  • Permitir invalidaciones de usuario: permite a los usuarios aprobar extensiones de kernel no incluidas en el perfil de configuración. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios permitan extensiones no incluidas en el perfil de configuración. Es decir, solo se permiten las extensiones incluidas en el perfil de configuración.

    Para obtener más información sobre esta característica, vaya a carga de extensiones de kernel aprobadas por el usuario (abre el sitio web de Apple).

  • Identificadores de equipo permitidos: use esta configuración para permitir uno o varios identificadores de equipo. Las extensiones de kernel firmadas con los identificadores de equipo que escriba se permiten y son de confianza. En otras palabras, use esta opción para permitir todas las extensiones de kernel dentro del mismo identificador de equipo, que puede ser un desarrollador o asociado específico.

    Escriba un identificador de equipo de extensiones de kernel válidas y firmadas para cargar. Puede agregar varios identificadores de equipo. El identificador de equipo debe ser alfanumérico (letras y números) y tener 10 caracteres. Por ejemplo, escriba ABCDE12345.

    Después de agregar un identificador de equipo, también se puede eliminar.

    Busca tu id. de equipo (abre el sitio web de Apple) y tiene más información.

    Sugerencia

    El identificador de equipo se almacena en la base de datos kextPolicy local. Puede obtener el identificador de equipo mediante el sqlite3 comando de un dispositivo macOS que tenga instalada la misma aplicación:

    1. En el dispositivo macOS, abra la aplicación Terminal y ejecute el siguiente script:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • En nuestro ejemplo, el nombre del volumen es Macintosh HD. Actualice el script con el nombre del volumen.
      • Asegúrese de que tiene acceso raíz y puede ejecutar un SUDO comando en el dispositivo.

    2. Revise la salida. La primera entrada es el identificador de equipo. En nuestro ejemplo, el identificador de equipo es PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Extensiones de kernel permitidas: use esta configuración para permitir extensiones de kernel específicas. Solo se permiten o confían las extensiones de kernel que escriba.

    Escriba el identificador de agrupación y el identificador de equipo de una extensión de kernel que se va a cargar. Para las extensiones de kernel heredadas sin signo, use un identificador de equipo vacío. Puede agregar varias extensiones de kernel. El identificador de equipo debe ser alfanumérico (letras y números) y tener 10 caracteres. Por ejemplo, escriba com.contoso.appname.macos para Id. de lote y ABCDE12345 para Identificador de equipo.

    Sugerencia

    Para obtener el identificador de agrupación de una extensión de kernel (Kext) en un dispositivo macOS, puede hacer lo siguiente:

    1. En la aplicación Terminal, ejecute kextstat | grep -v com.appley anote la salida. Instale el software o Kext que desee. Vuelva a ejecutar kextstat | grep -v com.apple y busque los cambios.

      En la aplicación Terminal, kextstat enumera todas las extensiones de kernel en el sistema operativo.

    2. En el dispositivo, abra el archivo de lista de propiedades de información (Info.plist) para un Kext. Se muestra el identificador de agrupación. Cada Kext tiene un archivo Info.plist almacenado dentro.

Extensiones del sistema

Esta característica se aplica a:

  • macOS 10.15 y versiones más recientes

La configuración se aplica a: Inscripción de dispositivos aprobada por el usuario, Inscripción automatizada de dispositivos

Nota:

Agregar el mismo identificador de equipo para las extensiones del sistema permitidas y los identificadores de equipo permitidos puede dar lugar a un error y al error del perfil. No agregue el mismo identificador de equipo exacto a ambas configuraciones.

  • Bloquear invalidaciones de usuario: impide que los usuarios aprueben extensiones del sistema que no están en la lista de permitidos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios aprueben extensiones desconocidas que no se incluyen en el perfil de configuración. Es decir, se permiten extensiones no incluidas en el perfil de configuración.

  • Identificadores de equipo permitidos: use esta configuración para permitir uno o varios identificadores de equipo. Las extensiones del sistema firmadas con los identificadores de equipo que escriba siempre se permiten y confían. En otras palabras, use esta opción para permitir todas las extensiones del sistema dentro del mismo identificador de equipo, que puede ser un desarrollador o asociado específico.

    Escriba un identificador de equipo de extensiones de sistema válidas y firmadas que se van a cargar. Puede agregar varios identificadores de equipo. El identificador de equipo debe ser alfanumérico (letras y números) y tener 10 caracteres. Por ejemplo, escriba ABCDE12345.

    Después de agregar un identificador de equipo, también se puede eliminar.

    Busca tu id. de equipo (abre el sitio web de Apple) y tiene más información.

    Sugerencia

    También puede obtener el identificador de equipo desde un equipo mac donde está instalada la aplicación.

    En la aplicación Terminal, ejecute:

    systemextensionsctl list

    y tenga en cuenta la salida:

    E.g. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    La primera entrada es el identificador de equipo que necesita. UBF8T346G9 en nuestro ejemplo

  • Extensiones de sistema permitidas: use esta configuración para permitir siempre extensiones específicas del sistema. Solo se permiten o confían las extensiones del sistema que especifique.

    Escriba el identificador de agrupación y el identificador de equipo de una extensión del sistema que se va a cargar. Para las extensiones de sistema heredadas sin firmar, use un identificador de equipo vacío. Puede agregar varias extensiones del sistema. El identificador de equipo debe ser alfanumérico (letras y números) y tener 10 caracteres. Por ejemplo, escriba com.contoso.appname.macos para Id. de lote y ABCDE12345 para Identificador de equipo.

  • Tipos de extensión del sistema permitidos: escriba el identificador de equipo y los tipos de extensión del sistema para permitir ese identificador de equipo:

    • Identificador de equipo: escriba el identificador de equipo de otra extensión del sistema que quiera permitir tipos de extensión específicos. O bien, escriba un identificador de equipo que agregó a Extensiones de sistema permitidas.

    • Tipos de extensión del sistema permitidos: seleccione los tipos de extensión del sistema que se van a permitir para cada id. de equipo. Sus opciones:

      • Seleccionar todo
      • Extensiones de controlador
      • Extensiones de red
      • Extensiones de seguridad de punto de conexión

      Para obtener más información sobre estos tipos de extensiones, vaya a Extensiones del sistema (abre el sitio web de Apple).

      Puede agregar un identificador de equipo en la lista Extensiones del sistema permitidas y permitir un tipo de extensión específico. Si la extensión es un tipo que no se permite, es posible que la extensión no se ejecute.

      Para permitir todos los tipos de extensión para un identificador de equipo, agregue el identificador de equipo a la lista Extensiones del sistema permitidas . No agregue el identificador de equipo a la lista Tipos de extensión del sistema permitidos . En otras palabras, si un identificador de equipo está en la lista Extensiones de sistema permitidas y no en la lista Tipos de extensión del sistema permitidos , se permiten todos los tipos de extensión para ese identificador de equipo.

Asigne el perfil y supervise su estado.