Ajouter des extensions système et noyau macOS dans Intune

Sur les appareils macOS, vous pouvez ajouter des extensions de noyau et des extensions système. Les extensions de noyau et les extensions système permettent aux utilisateurs d’installer des extensions d’application qui étendent les fonctionnalités natives du système d’exploitation. Les extensions de noyau exécutent leur code au niveau du noyau. Les extensions système s’exécutent dans un espace utilisateur étroitement contrôlé.

Remarque

Les extensions de noyau macOS sont remplacées par des extensions système. Pour plus d’informations, consultez Conseil de support : Utilisation d’extensions système au lieu d’extensions de noyau pour macOS Catalina 10.15 dans Intune.

Pour ajouter des extensions qui sont toujours autorisées à se charger sur vos appareils, utilisez Microsoft Intune. Intune utilise des profils de configuration pour créer et personnaliser ces paramètres selon les besoins de votre organisation. Après avoir ajouté ces fonctionnalités dans une stratégie, vous envoyez (push) ou déployez la stratégie sur les appareils macOS de votre organization.

Cette fonctionnalité s’applique à :

• macOS

Cet article décrit les extensions système et les extensions de noyau. Il vous montre également comment créer une stratégie de configuration d’appareil à l’aide d’extensions de noyau dans Intune.

Extensions système

Les extensions système s’exécutent dans l’espace utilisateur et n’accèdent pas au noyau. Leur objectif est d’accroître la sécurité, de fournir plus de contrôle par l’utilisateur final et de limiter les attaques au niveau du noyau. Ces extensions peuvent être :

• Extensions de pilote, y compris les pilotes vers USB, les cartes d’interface réseau (NIC), les contrôleurs série et les périphériques d’interface humaine (HID)
• Extensions réseau, y compris les filtres de contenu, les proxys DNS et les clients VPN
• Extensions de sécurité de point de terminaison, y compris la détection des points de terminaison, la réponse du point de terminaison et l’antivirus

Les extensions système sont incluses dans l’offre groupée d’une application et installées à partir de l’application. Plus précisément, vous écrivez votre extension système, puis vous empaquetez l’extension dans votre offre groupée d’applications. Pour plus d’informations, accédez à extensions système (ouvre le site web d’Apple).

Lorsque l’application avec l’extension système est prête, vous pouvez la déployer à l’aide de Microsoft Intune. Pour plus d’informations, consultez Ajouter des applications à Microsoft Intune.

Extensions de noyau

Remarque

Les extensions de noyau macOS sont remplacées par des extensions système. Pour plus d’informations, consultez Conseil de support : Utilisation d’extensions système au lieu d’extensions de noyau pour macOS Catalina 10.15 dans Intune.

Les extensions de noyau ajoutent des fonctionnalités au niveau du noyau. Ces fonctionnalités accèdent à des parties du système d’exploitation auxquelles les programmes standard ne peuvent pas accéder. Ils peuvent être utilisés si votre organization a des besoins ou des exigences spécifiques qui ne sont pas disponibles dans une application ou une fonctionnalité d’appareil.

Par exemple, vous disposez d’un programme d’analyse antivirus qui analyse votre appareil à la recherche de contenu malveillant. Vous pouvez ajouter l’extension de noyau de ce programme d’analyse antivirus en tant qu’extension de noyau autorisée dans Intune. Ensuite, affectez l’extension à vos appareils macOS.

Avec cette fonctionnalité, les administrateurs peuvent autoriser les utilisateurs à remplacer les extensions de noyau, à ajouter des identificateurs d’équipe et à ajouter des extensions de noyau spécifiques dans Intune.

Pour plus d’informations sur les extensions de noyau , accédez à Extensions de noyau (ouvre le site web d’Apple).

Importante

Les extensions de noyau ne fonctionnent pas sur les appareils macOS avec la puce M1, qui sont des appareils macOS exécutés sur Apple Silicon. Ce comportement est un problème connu, sans ETA. Il est possible que vous puissiez les faire travailler, mais ce n’est pas recommandé. Pour plus d’informations, accédez à Extensions de noyau dans macOS (ouvre le site web d’Apple).

Pour tous les appareils macOS exécutant 10.15 et versions ultérieures, nous vous recommandons d’utiliser des extensions système (dans cet article). Si vous utilisez les paramètres des extensions de noyau, envisagez d’exclure les appareils macOS avec des puces M1 de recevoir le profil d’extensions de noyau.

Configuration requise

• Cette fonctionnalité s’applique à :

  • macOS 10.13.2 et versions ultérieures (extensions de noyau)
  • macOS 10.15 et versions ultérieures (extensions système)

  De macOS 10.15 à 10.15.4, les extensions de noyau et les extensions système peuvent s’exécuter côte à côte.

• Pour utiliser cette fonctionnalité, les appareils doivent être :

  • Inscrit dans Intune à l’aide de l’inscription automatisée des appareils (ADE), précédemment appelé Programme d’inscription des appareils (DEP). Pour plus d’informations sur cette option d’inscription, accédez à :

    • Inscription automatisée des appareils (ADE) pour les appareils macOS
    • Inscrire automatiquement des appareils macOS

    OU

  • Inscrit dans Intune à l’aide de l’inscription de l’appareil, également appelée inscription approuvée par l’utilisateur. Cette méthode d’inscription est courante sur les appareils personnels. Pour plus d’informations sur cette option d’inscription, accédez à :

    • BYOD : Inscription des appareils pour les appareils macOS
    • Préparer les modifications apportées aux extensions de noyau dans macOS High Sierra (ouvre le site web d’Apple)

  Pour plus d’informations sur les options d’inscription des appareils macOS, consultez Guide d’inscription : Inscrire des appareils macOS dans Microsoft Intune.

• Pour créer la stratégie, connectez-vous au minimum au centre d’administration Microsoft Intune avec un compte disposant du rôle intégré Gestionnaire de stratégies et de profils. Pour plus d’informations sur les rôles intégrés, accédez à Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Ce que vous devez savoir

• Vous pouvez ajouter des extensions de noyau héritées et des extensions système non signées.
• Veillez à entrer l’identificateur d’équipe et l’ID de bundle corrects de l’extension. Intune ne valide pas les valeurs que vous entrez. Si vous entrez des informations incorrectes, l’extension ne fonctionnera pas sur l’appareil. Un identificateur d’équipe contient exactement 10 caractères alphanumériques.

Remarque

Apple a publié des informations concernant la signature et la notarisation pour tous les logiciels. Sur macOS 10.14.5 et versions ultérieures, les extensions de noyau déployées via Intune n’ont pas besoin de respecter la stratégie de notarisation d’Apple.

Pour plus d’informations sur cette stratégie de notarisation, ainsi que sur les mises à jour ou modifications, accédez aux ressources suivantes :

• Notarisation de votre application avant la distribution (ouvre le site web d’Apple)
• Préparer les modifications apportées aux extensions de noyau dans macOS High Sierra (ouvre le site web d’Apple)

Créer la stratégie d’extension du noyau

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezConfiguration>des appareils>Créer.

3. Entrez les propriétés suivantes :

   • Plateforme : sélectionnez macOS
   • Type de profil : sélectionnez Extensions de modèles>.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est l’analyse macOS-AV à l’aide d’extensions de noyau.
   • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans Paramètres de configuration, configurez vos paramètres :

   • MacOS

8. Sélectionnez Suivant.

9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée.

   Sélectionnez Suivant.

10. Dans Affectations, sélectionnez les utilisateurs ou les groupes qui recevront votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Ressources

Affectez le profil et surveillez son état.