macOS-eszközbeállítások kernel- és rendszerbővítmények konfigurálásához és használatához a Intune
Megjegyzés:
- Intune a cikkben felsorolt beállításoknál több beállítást támogathat. Nem minden beállítás van dokumentálva, és nem lesz dokumentálva. A konfigurálható beállítások megtekintéséhez hozzon létre egy eszközkonfigurációs szabályzatot, és válassza a Beállítások katalógusa lehetőséget. További információt a Beállítások katalógusában talál.
- A macOS kernelbővítményeket rendszerbővítmények váltják fel. További információ: Támogatási tipp: Rendszerbővítmények használata kernelbővítmények helyett a macOS Catalina 10.15-höz a Intune-ben.
Ez a cikk a macOS-eszközökön szabályozható kernel- és rendszerbővítmény-beállításokat ismerteti. A mobileszköz-kezelési (MDM-) megoldás részeként ezekkel a beállításokkal bővítménnyel bővítheti és kezelheti az eszközeit.
Ez a funkció az alábbiakra vonatkozik:
- macOS
A Intune bővítményeiről és az előfeltételekről további információt a macOS-bővítmények hozzáadása című témakörben talál.
Ezeket a beállításokat a rendszer hozzáadja egy eszközkonfigurációs profilhoz a Intune, majd hozzárendeli vagy üzembe helyezi őket a macOS-eszközökön.
Az első lépések
- Hozzon létre egy macOS-bővítmények eszközkonfigurációs profilját.
- Ezek a beállítások a különböző regisztrációs típusokra vonatkoznak. A különböző regisztrációs típusokkal kapcsolatos további információkért tekintse meg a macOS-regisztrációt ismertető cikket.
Kernelbővítmények
Ez a funkció az alábbiakra vonatkozik:
- macOS 10.13.2 és újabb
Amit még tudnia kell
A kernelbővítmények nem működnek az M1 chippel rendelkező macOS-eszközökön, amelyek apple silicon-on futó macOS-eszközök. Ez a viselkedés ismert probléma, ETA nélkül.
A 10.15-ös vagy újabb verziót futtató macOS-eszközök esetén a rendszerbővítmények használatát javasoljuk (ebben a cikkben). Ha a kernelbővítmények beállításait használja, fontolja meg az M1 lapkával rendelkező macOS-eszközök kizárását a kernelbővítmény-profil fogadásából.
A beállítások a következőre vonatkoznak: Felhasználó által jóváhagyott eszközregisztráció, Automatizált eszközregisztráció
Megjegyzés:
Nem kell csapatazonosítókat és kernelbővítményeket hozzáadnia. Az egyiket vagy a másikat konfigurálhatja.
Felhasználói felülbírálások engedélyezése: Igen , a felhasználók jóváhagyhatják a konfigurációs profilban nem szereplő kernelbővítményeket. Ha a Nincs konfigurálva (alapértelmezett) értékre van állítva, a Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer megakadályozhatja, hogy a felhasználók engedélyezzék a konfigurációs profilban nem szereplő bővítményeket. Ez azt jelenti, hogy csak a konfigurációs profilban szereplő bővítmények engedélyezettek.
A funkcióval kapcsolatos további információkért látogasson el a felhasználó által jóváhagyott kernelbővítmény betöltésére (nyissa meg az Apple webhelyét).
Engedélyezett csoportazonosítók: Ezzel a beállítással egy vagy több csoportazonosítót engedélyezhet. A megadott csapatazonosítókkal aláírt kernelbővítmények engedélyezettek és megbízhatók. Más szóval ezzel a beállítással engedélyezheti az összes kernelbővítményt ugyanabban a csapatazonosítóban, amely lehet egy adott fejlesztő vagy partner.
Adja meg a betöltendő érvényes és aláírt kernelbővítmények csapatazonosítóját. Több csoportazonosítót is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Írja be például a következőt:
ABCDE12345
.A csoportazonosító hozzáadása után az is törölhető.
Keresse meg a csapatazonosítót (megnyitja az Apple webhelyét) további információkat tartalmaz.
Tipp
A csapatazonosító a helyi KextPolicy adatbázisban van tárolva. A csapatazonosítót az
sqlite3
paranccsal szerezheti be egy olyan macOS-eszközről, amely ugyanazt az alkalmazást telepítette:Nyissa meg a terminálalkalmazást a macOS-eszközön, és futtassa a következő szkriptet:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"
- A példánkban a kötet neve Macintosh HD. Frissítse a szkriptet a kötet nevével.
- Győződjön meg arról, hogy rendelkezik gyökérszintű hozzáféréssel, és futtathat egy
SUDO
parancsot az eszközön.
Tekintse át a kimenetet. Az első bejegyzés a csapatazonosító. A példánkban a csapatazonosító a következő
PXPZ95SK77
:PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
Engedélyezett kernelbővítmények: Ezzel a beállítással engedélyezheti bizonyos kernelbővítményeket. Csak a megadott kernelbővítmények engedélyezettek vagy megbízhatók.
Adja meg a betöltendő kernelbővítmény csomagazonosítóját és csapatazonosítóját. Az aláíratlan örökölt kernelbővítményekhez használjon üres csoportazonosítót. Több kernelbővítményt is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Adja meg
com.contoso.appname.macos
például a csomagazonosítót, aABCDE12345
csoportazonosítót.Tipp
A kernelbővítmény (Kext) csomagazonosítójának macOS-eszközön való lekéréséhez a következőket teheti:
A Terminál alkalmazásban futtassa a parancsot
kextstat | grep -v com.apple
, és jegyezze fel a kimenetet. Telepítse a kívánt szoftvert vagy Kextet. Futtassa újra az parancsotkextstat | grep -v com.apple
, és keresse meg a módosításokat.A Terminál alkalmazásban
kextstat
felsorolja az operációs rendszer összes kernelbővítményét.Nyissa meg az eszközön a Kext Information Tulajdonságlista fájlját (Info.plist). Megjelenik a csomagazonosító. Minden Kextben van egy Info.plist fájl.
Rendszerbővítmények
Ez a funkció az alábbiakra vonatkozik:
- macOS 10.15 és újabb
A beállítások a következőre vonatkoznak: Felhasználó által jóváhagyott eszközregisztráció, Automatizált eszközregisztráció
Megjegyzés:
Ha ugyanazt a csapatazonosítót hozzáadja az Engedélyezett rendszerbővítményekhez és az Engedélyezett csoportazonosítókhoz , az hibát okozhat, és a profil meghibásodhat. Ne adja hozzá ugyanazt a csoportazonosítót mindkét beállításhoz.
Felhasználói felülbírálások letiltása: Az Igen beállítás megakadályozza, hogy a felhasználók jóváhagyják az engedélyezett listában nem szereplő rendszerbővítményeket. Ha a Nincs konfigurálva (alapértelmezett) értékre van állítva, a Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer lehetővé teheti, hogy a felhasználók jóváhagyják a konfigurációs profilban nem szereplő ismeretlen bővítményeket. Ez azt jelenti, hogy a konfigurációs profilban nem szereplő bővítmények engedélyezettek.
Engedélyezett csoportazonosítók: Ezzel a beállítással egy vagy több csoportazonosítót engedélyezhet. A megadott csapatazonosítókkal aláírt rendszerbővítmények mindig engedélyezettek és megbízhatók. Más szóval ezzel a beállítással engedélyezheti az összes rendszerbővítményt ugyanabban a csapatazonosítóban, amely egy adott fejlesztő vagy partner lehet.
Adja meg a betöltendő érvényes és aláírt rendszerbővítmények csapatazonosítóját . Több csoportazonosítót is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Írja be például a következőt:
ABCDE12345
.A csoportazonosító hozzáadása után az is törölhető.
Keresse meg a csapatazonosítót (megnyitja az Apple webhelyét) további információkat tartalmaz.
Tipp
A csapatazonosítót egy mac gépről is lekérheti, amelyen az alkalmazás telepítve van
A Terminál alkalmazásban futtassa a következőt:
systemextensionsctl list
és jegyezze fel a kimenetet:
Pl.
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension
Az első bejegyzés a szükséges csapatazonosító.
UBF8T346G9
példánkbanEngedélyezett rendszerbővítmények: Ezzel a beállítással mindig engedélyezhet bizonyos rendszerbővítményeket. Csak a megadott rendszerbővítmények engedélyezettek vagy megbízhatók.
Adja meg a betöltendő rendszerbővítmény csomagazonosítóját és csapatazonosítóját . Aláíratlan örökölt rendszerbővítmények esetén használjon üres csoportazonosítót. Több rendszerbővítményt is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Adja meg
com.contoso.appname.macos
például a csomagazonosítót, aABCDE12345
csoportazonosítót.Engedélyezett rendszerbővítmény-típusok: Adja meg a csoportazonosítót és a rendszerbővítmény-típusokat a csoportazonosító engedélyezéséhez:
Csoportazonosító: Adja meg egy másik rendszerbővítmény csapatazonosítóját, amelyet engedélyezni szeretne bizonyos bővítménytípusokhoz. Vagy adjon meg egy csoportazonosítót, amit az Engedélyezett rendszerbővítmények elemhez adott hozzá.
Engedélyezett rendszerbővítmény-típusok: Válassza ki az egyes csapatazonosítókhoz engedélyezni kívánt rendszerbővítmény-típusokat. Az Ön lehetőségei:
- Az összes kijelölése
- Illesztőbővítmények
- Hálózati bővítmények
- Végpontbiztonsági bővítmények
További információ ezekről a bővítménytípusokról: Rendszerbővítmények (megnyitja az Apple webhelyét).
Hozzáadhat egy csoportazonosítót az Engedélyezett rendszerbővítmények listából, és engedélyezheti egy adott bővítménytípust. Ha a bővítmény nem engedélyezett típus, akkor előfordulhat, hogy a bővítmény nem fut.
Ha egy csoportazonosító összes bővítménytípusát engedélyezni szeretné, adja hozzá a Csoportazonosítót az Engedélyezett rendszerbővítmények listához. Ne adja hozzá a csapatazonosítót az Engedélyezett rendszerbővítmény-típusok listához. Más szóval, ha egy csapatazonosító az Engedélyezett rendszerbővítmények listában szerepel, és nem az Engedélyezett rendszerbővítmény-típusok listában, akkor az adott csoportazonosítóhoz minden bővítménytípus engedélyezve lesz.
Kapcsolódó cikkek
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: