macOS-eszközbeállítások kernel- és rendszerbővítmények konfigurálásához és használatához a Intune

Megjegyzés:

• Intune a cikkben felsorolt beállításoknál több beállítást támogathat. Nem minden beállítás van dokumentálva, és nem lesz dokumentálva. A konfigurálható beállítások megtekintéséhez hozzon létre egy eszközkonfigurációs szabályzatot, és válassza a Beállítások katalógusa lehetőséget. További információt a Beállítások katalógusában talál.
• A macOS kernelbővítményeket rendszerbővítmények váltják fel. További információ: Támogatási tipp: Rendszerbővítmények használata kernelbővítmények helyett a macOS Catalina 10.15-höz a Intune-ben.

Ez a cikk a macOS-eszközökön szabályozható kernel- és rendszerbővítmény-beállításokat ismerteti. A mobileszköz-kezelési (MDM-) megoldás részeként ezekkel a beállításokkal bővítménnyel bővítheti és kezelheti az eszközeit.

Ez a funkció az alábbiakra vonatkozik:

• macOS

A Intune bővítményeiről és az előfeltételekről további információt a macOS-bővítmények hozzáadása című témakörben talál.

Ezeket a beállításokat a rendszer hozzáadja egy eszközkonfigurációs profilhoz a Intune, majd hozzárendeli vagy üzembe helyezi őket a macOS-eszközökön.

Az első lépések

• Hozzon létre egy macOS-bővítmények eszközkonfigurációs profilját.
• Ezek a beállítások a különböző regisztrációs típusokra vonatkoznak. A különböző regisztrációs típusokkal kapcsolatos további információkért tekintse meg a macOS-regisztrációt ismertető cikket.

Kernelbővítmények

Ez a funkció az alábbiakra vonatkozik:

• macOS 10.13.2 és újabb

Amit még tudnia kell

• A kernelbővítmények nem működnek az M1 chippel rendelkező macOS-eszközökön, amelyek apple silicon-on futó macOS-eszközök. Ez a viselkedés ismert probléma, ETA nélkül.

• A 10.15-ös vagy újabb verziót futtató macOS-eszközök esetén a rendszerbővítmények használatát javasoljuk (ebben a cikkben). Ha a kernelbővítmények beállításait használja, fontolja meg az M1 lapkával rendelkező macOS-eszközök kizárását a kernelbővítmény-profil fogadásából.

A beállítások a következőre vonatkoznak: Felhasználó által jóváhagyott eszközregisztráció, Automatizált eszközregisztráció

Megjegyzés:

Nem kell csapatazonosítókat és kernelbővítményeket hozzáadnia. Az egyiket vagy a másikat konfigurálhatja.

• Felhasználói felülbírálások engedélyezése: Igen , a felhasználók jóváhagyhatják a konfigurációs profilban nem szereplő kernelbővítményeket. Ha a Nincs konfigurálva (alapértelmezett) értékre van állítva, a Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer megakadályozhatja, hogy a felhasználók engedélyezzék a konfigurációs profilban nem szereplő bővítményeket. Ez azt jelenti, hogy csak a konfigurációs profilban szereplő bővítmények engedélyezettek.

  A funkcióval kapcsolatos további információkért látogasson el a felhasználó által jóváhagyott kernelbővítmény betöltésére (nyissa meg az Apple webhelyét).

• Engedélyezett csoportazonosítók: Ezzel a beállítással egy vagy több csoportazonosítót engedélyezhet. A megadott csapatazonosítókkal aláírt kernelbővítmények engedélyezettek és megbízhatók. Más szóval ezzel a beállítással engedélyezheti az összes kernelbővítményt ugyanabban a csapatazonosítóban, amely lehet egy adott fejlesztő vagy partner.

  Adja meg a betöltendő érvényes és aláírt kernelbővítmények csapatazonosítóját. Több csoportazonosítót is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Írja be például a következőt: ABCDE12345.

  A csoportazonosító hozzáadása után az is törölhető.

  Keresse meg a csapatazonosítót (megnyitja az Apple webhelyét) további információkat tartalmaz.

  Tipp

  A csapatazonosító a helyi KextPolicy adatbázisban van tárolva. A csapatazonosítót az sqlite3 paranccsal szerezheti be egy olyan macOS-eszközről, amely ugyanazt az alkalmazást telepítette:

  1. Nyissa meg a terminálalkalmazást a macOS-eszközön, és futtassa a következő szkriptet:

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • A példánkban a kötet neve Macintosh HD. Frissítse a szkriptet a kötet nevével.
     • Győződjön meg arról, hogy rendelkezik gyökérszintű hozzáféréssel, és futtathat egy SUDO parancsot az eszközön.

  2. Tekintse át a kimenetet. Az első bejegyzés a csapatazonosító. A példánkban a csapatazonosító a következő PXPZ95SK77:

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• Engedélyezett kernelbővítmények: Ezzel a beállítással engedélyezheti bizonyos kernelbővítményeket. Csak a megadott kernelbővítmények engedélyezettek vagy megbízhatók.

  Adja meg a betöltendő kernelbővítmény csomagazonosítóját és csapatazonosítóját. Az aláíratlan örökölt kernelbővítményekhez használjon üres csoportazonosítót. Több kernelbővítményt is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Adja meg com.contoso.appname.macos például a csomagazonosítót, a ABCDE12345csoportazonosítót.

  Tipp

  A kernelbővítmény (Kext) csomagazonosítójának macOS-eszközön való lekéréséhez a következőket teheti:

  1. A Terminál alkalmazásban futtassa a parancsot kextstat | grep -v com.apple, és jegyezze fel a kimenetet. Telepítse a kívánt szoftvert vagy Kextet. Futtassa újra az parancsot kextstat | grep -v com.apple , és keresse meg a módosításokat.

     A Terminál alkalmazásban kextstat felsorolja az operációs rendszer összes kernelbővítményét.

  2. Nyissa meg az eszközön a Kext Information Tulajdonságlista fájlját (Info.plist). Megjelenik a csomagazonosító. Minden Kextben van egy Info.plist fájl.

Rendszerbővítmények

Ez a funkció az alábbiakra vonatkozik:

• macOS 10.15 és újabb

A beállítások a következőre vonatkoznak: Felhasználó által jóváhagyott eszközregisztráció, Automatizált eszközregisztráció

Megjegyzés:

Ha ugyanazt a csapatazonosítót hozzáadja az Engedélyezett rendszerbővítményekhez és az Engedélyezett csoportazonosítókhoz , az hibát okozhat, és a profil meghibásodhat. Ne adja hozzá ugyanazt a csoportazonosítót mindkét beállításhoz.

• Felhasználói felülbírálások letiltása: Az Igen beállítás megakadályozza, hogy a felhasználók jóváhagyják az engedélyezett listában nem szereplő rendszerbővítményeket. Ha a Nincs konfigurálva (alapértelmezett) értékre van állítva, a Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer lehetővé teheti, hogy a felhasználók jóváhagyják a konfigurációs profilban nem szereplő ismeretlen bővítményeket. Ez azt jelenti, hogy a konfigurációs profilban nem szereplő bővítmények engedélyezettek.

• Engedélyezett csoportazonosítók: Ezzel a beállítással egy vagy több csoportazonosítót engedélyezhet. A megadott csapatazonosítókkal aláírt rendszerbővítmények mindig engedélyezettek és megbízhatók. Más szóval ezzel a beállítással engedélyezheti az összes rendszerbővítményt ugyanabban a csapatazonosítóban, amely egy adott fejlesztő vagy partner lehet.

  Adja meg a betöltendő érvényes és aláírt rendszerbővítmények csapatazonosítóját . Több csoportazonosítót is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Írja be például a következőt: ABCDE12345.

  A csoportazonosító hozzáadása után az is törölhető.

  Keresse meg a csapatazonosítót (megnyitja az Apple webhelyét) további információkat tartalmaz.

  Tipp

  A csapatazonosítót egy mac gépről is lekérheti, amelyen az alkalmazás telepítve van

  A Terminál alkalmazásban futtassa a következőt:

  systemextensionsctl list

  és jegyezze fel a kimenetet:

  Pl. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  Az első bejegyzés a szükséges csapatazonosító. UBF8T346G9 példánkban

• Engedélyezett rendszerbővítmények: Ezzel a beállítással mindig engedélyezhet bizonyos rendszerbővítményeket. Csak a megadott rendszerbővítmények engedélyezettek vagy megbízhatók.

  Adja meg a betöltendő rendszerbővítmény csomagazonosítóját és csapatazonosítóját . Aláíratlan örökölt rendszerbővítmények esetén használjon üres csoportazonosítót. Több rendszerbővítményt is hozzáadhat. A csapatazonosítónak alfanumerikusnak (betűknek és számoknak) kell lennie, és 10 karakterből kell állnia. Adja meg com.contoso.appname.macos például a csomagazonosítót, a ABCDE12345csoportazonosítót.

• Engedélyezett rendszerbővítmény-típusok: Adja meg a csoportazonosítót és a rendszerbővítmény-típusokat a csoportazonosító engedélyezéséhez:

  • Csoportazonosító: Adja meg egy másik rendszerbővítmény csapatazonosítóját, amelyet engedélyezni szeretne bizonyos bővítménytípusokhoz. Vagy adjon meg egy csoportazonosítót, amit az Engedélyezett rendszerbővítmények elemhez adott hozzá.

  • Engedélyezett rendszerbővítmény-típusok: Válassza ki az egyes csapatazonosítókhoz engedélyezni kívánt rendszerbővítmény-típusokat. Az Ön lehetőségei:

    • Az összes kijelölése
    • Illesztőbővítmények
    • Hálózati bővítmények
    • Végpontbiztonsági bővítmények

    További információ ezekről a bővítménytípusokról: Rendszerbővítmények (megnyitja az Apple webhelyét).

    Hozzáadhat egy csoportazonosítót az Engedélyezett rendszerbővítmények listából, és engedélyezheti egy adott bővítménytípust. Ha a bővítmény nem engedélyezett típus, akkor előfordulhat, hogy a bővítmény nem fut.

    Ha egy csoportazonosító összes bővítménytípusát engedélyezni szeretné, adja hozzá a Csoportazonosítót az Engedélyezett rendszerbővítmények listához. Ne adja hozzá a csapatazonosítót az Engedélyezett rendszerbővítmény-típusok listához. Más szóval, ha egy csapatazonosító az Engedélyezett rendszerbővítmények listában szerepel, és nem az Engedélyezett rendszerbővítmény-típusok listában, akkor az adott csoportazonosítóhoz minden bővítménytípus engedélyezve lesz.

Kapcsolódó cikkek

Rendelje hozzá a profilt , és figyelje az állapotát.