Intune で macOS システム拡張機能とカーネル拡張機能を追加する

[アーティクル]
01/13/2024

macOS デバイスでは、カーネル拡張機能とシステム拡張機能を追加できます。カーネル拡張機能とシステム拡張機能の両方を使用すると、ユーザーはオペレーティングシステムのネイティブ機能を拡張するアプリ拡張機能をインストールできます。カーネル拡張機能は、カーネルレベルでコードを実行します。システム拡張機能は、厳密に制御されたユーザー空間で実行されます。

注:

macOS カーネル拡張機能は、システム拡張機能に置き換えられます。詳細については、「サポートヒント: Intune で macOS Catalina 10.15 のカーネル拡張機能ではなくシステム拡張機能を使用する」を参照してください。

デバイスへの読み込みが常に許可されている拡張機能を追加するには、Microsoft Intuneを使用します。 Intune では、"構成プロファイル" を使用して、お客様の組織のニーズに合わせてこのような設定を作成およびカスタマイズします。これらの機能をポリシーに追加した後、organizationの macOS デバイスにポリシーをプッシュまたは展開します。

この機能は、以下に適用されます:

macOS

この記事では、システム拡張機能とカーネル拡張機能について説明します。また、Intune でカーネル拡張機能を使用してデバイス構成ポリシーを作成する方法についても説明します。

システム拡張機能

システム拡張機能はユーザー空間で実行され、カーネルにアクセスしません。その目標は、セキュリティを強化し、より多くのエンドユーザー制御を提供し、カーネルレベルの攻撃を制限することです。これらの拡張機能は次のとおりです。

USB、ネットワークインターフェイスカード (NIC)、シリアルコントローラー、およびヒューマンインターフェイスデバイス (HID) へのドライバーを含むドライバー拡張機能
コンテンツフィルター、DNS プロキシ、VPN クライアントなどのネットワーク拡張機能
エンドポイントの検出、エンドポイントの応答、ウイルス対策など、エンドポイントセキュリティ拡張機能

システム拡張機能はアプリのバンドルに含まれ、アプリからインストールされます。具体的には、システム拡張機能を記述し、その拡張機能をアプリバンドルにパッケージ化します。詳細については、「システム拡張機能 (Apple の Web サイトを開く)」を参照してください。

システム拡張機能を持つアプリの準備ができたら、Microsoft Intuneを使用してアプリをデプロイできます。詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

カーネル拡張機能

注:

カーネル拡張機能は、カーネルレベルで機能を追加します。これらの機能は、通常のプログラムがアクセスできない OS の一部にアクセスします。アプリやデバイス機能で使用できない特定のニーズや要件がある場合は、organizationを使用できます。

たとえば、デバイスで悪意のあるコンテンツをスキャンするウイルススキャンプログラムがあります。このウイルススキャンプログラムのカーネル拡張機能は、Intune で許可されているカーネル拡張機能として追加できます。次に、macOS デバイスに拡張機能を割り当てます。

この機能を使用すると、管理者は、ユーザーが Intune でカーネル拡張機能のオーバーライド、チーム識別子の追加、特定のカーネル拡張機能の追加を許可できます。

カーネル拡張機能の詳細については、カーネル拡張機能に関するページを参照してください (Apple の Web サイトが開きます)。

重要

カーネル拡張機能は、m1 チップを搭載した macOS デバイスでは機能しません。これは、Apple シリコンで実行されている macOS デバイスです。この動作は既知の問題であり、ETA はありません。それらを動作させることができますが、推奨されません。詳細については、「 macOS のカーネル拡張機能 (Apple の Web サイトを開く)」を参照してください。

10.15 以降を実行している macOS デバイスの場合は、システム拡張機能 (この記事で) を使用することをお勧めします。カーネル拡張機能の設定を使用する場合は、M1 チップを搭載した macOS デバイスがカーネル拡張機能プロファイルを受信しないようにすることを検討してください。

前提条件

この機能は、以下に適用されます。
- macOS 10.13.2 以降 (カーネル拡張機能)
- macOS 10.15 以降 (システム拡張機能)
macOS 10.15 から 10.15.4 まで、カーネル拡張機能とシステム拡張機能を並行して実行できます。
この機能を使用するには、デバイスは次の必要があります。
- 以前はデバイス登録プログラム (DEP) と呼ばれていました 。自動デバイス登録 (ADE) を使用して Intune に登録されています。この登録オプションの詳細については、次のページを参照してください。
  - macOS デバイスの自動デバイス登録 (ADE)
  - macOS デバイスを自動的に登録する
  または
- デバイス登録 (ユーザー承認済み登録とも呼ばれます) を使用して Intune に登録されます。この登録方法は、個人所有のデバイスで一般的です。この登録オプションの詳細については、次のページを参照してください。
  - BYOD: macOS デバイスのデバイス登録
  - macOS High Sierra でカーネル拡張機能の変更を準備する (Apple の Web サイトを開く)
macOS デバイスの登録オプションの詳細については、「登録ガイド: Microsoft Intuneに macOS デバイスを登録する」を参照してください。
ポリシーを作成するには、少なくとも、ポリシーとプロファイルマネージャーの組み込みロールを持つアカウントを使用して、Microsoft Intune管理センターにサインインします。組み込みのロールの詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

知っておく必要があること

署名されていないレガシカーネル拡張機能とシステム拡張機能を追加できます。
拡張機能の正しいチーム識別子とバンドル ID を必ず入力してください。 Intune では、入力した値は検証されません。間違った情報を入力した場合、拡張機能はデバイスでは機能しません。チーム識別子は、正確に 10 文字の英数字です。

注:

Apple は、すべてのソフトウェアの署名と公証に関する情報をリリースしました。 macOS 10.14.5 以降では、Intune 経由で展開されるカーネル拡張機能は、Apple の公証ポリシーを満たす必要はありません。

この公証ポリシーと更新プログラムまたは変更については、次のリソースを参照してください。

配布前にアプリを公証する (Apple の Web サイトを開く)
macOS High Sierra でカーネル拡張機能の変更を準備する (Apple の Web サイトを開く)

カーネル拡張機能ポリシーを作成する

Microsoft Intune 管理センターにサインインします。
[デバイス構成の作成] を>選択します>。
次のプロパティを入力します。
- プラットフォーム: macOS を選択する
- プロファイルの種類: [テンプレート拡張機能] を>選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: ポリシーのわかりやすい名前を入力します。後で簡単に識別できるよう、ポリシーに名前を付けます。たとえば、適切なポリシー名は、 カーネル拡張機能を使用した macOS-AV スキャンです。
- [説明]: ポリシーの説明を入力します。この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[ 構成設定] で、設定を構成します。
- macOS
[次へ] を選択します。
スコープタグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。スコープタグの詳細については、「分散 IT に RBAC とスコープタグを使用する」を参照してください。

[次へ] を選択します。
[割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。プロファイルの割り当ての詳細については、「ユーザープロファイルとデバイスプロファイルの割り当て」を参照してください。

[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。また、ポリシーがプロファイルリストに表示されます。

リソース

必ずプロファイルを割り当て、その状態を監視してください。