Intune에서 macOS 시스템 및 커널 확장 추가

macOS 디바이스에서 커널 확장 및 시스템 확장을 추가할 수 있습니다. 커널 확장과 시스템 확장을 모두 사용하면 운영 체제의 네이티브 기능을 확장하는 앱 확장을 설치할 수 있습니다. 커널 확장은 커널 수준에서 해당 코드를 실행합니다. 시스템 확장은 엄격하게 제어된 사용자 공간에서 실행됩니다.

참고

macOS 커널 확장이 시스템 확장으로 대체되고 있습니다. 자세한 내용은 지원 팁: Intune에서 macOS Catalina 10.15용 커널 확장 대신 시스템 확장 사용을 참조하세요.

디바이스에서 항상 로드할 수 있는 확장을 추가하려면 Microsoft Intune 사용합니다. Intune은 구성 프로필을 사용하여 조직의 요구 사항에 맞게 이러한 설정을 만들고 사용자 지정합니다. 정책에 이러한 기능을 추가한 후 organization macOS 디바이스에 정책을 푸시하거나 배포합니다.

이 기능은 다음에 적용됩니다.

• macOS

이 문서에서는 시스템 확장 및 커널 확장에 대해 설명합니다. 또한 Intune에서 커널 확장을 사용하여 디바이스 구성 정책을 만드는 방법도 보여 줍니다.

시스템 확장

시스템 확장은 사용자 공간에서 실행되며 커널에 액세스하지 않습니다. 그들의 목표는 보안을 강화하고, 더 많은 최종 사용자 제어를 제공하고, 커널 수준 공격을 제한하는 것입니다. 이러한 확장은 다음과 같습니다.

• USB, NIC(네트워크 인터페이스 카드), 직렬 컨트롤러 및 HID(휴먼 인터페이스 디바이스)에 대한 드라이버를 포함한 드라이버 확장
• 콘텐츠 필터, DNS 프록시 및 VPN 클라이언트를 포함한 네트워크 확장
• 엔드포인트 검색, 엔드포인트 응답 및 바이러스 백신을 포함한 엔드포인트 보안 확장

시스템 확장은 앱의 번들에 포함되며 앱에서 설치됩니다. 특히 시스템 확장을 작성한 다음 앱 번들에 확장을 패키지합니다. 자세한 내용은 시스템 확장 (Apple 웹 사이트 열기)으로 이동하세요.

시스템 확장이 있는 앱이 준비되면 Microsoft Intune 사용하여 앱을 배포할 수 있습니다. 자세한 내용은 Microsoft Intune 앱 추가를 참조하세요.

커널 확장

참고

macOS 커널 확장이 시스템 확장으로 대체되고 있습니다. 자세한 내용은 지원 팁: Intune에서 macOS Catalina 10.15용 커널 확장 대신 시스템 확장 사용을 참조하세요.

커널 확장은 커널 수준에서 기능을 추가합니다. 이러한 기능은 일반 프로그램에서 액세스할 수 없는 OS의 부분에 액세스합니다. organization 앱 또는 디바이스 기능에서 사용할 수 없는 특정 요구 사항 또는 요구 사항이 있는 경우 사용할 수 있습니다.

예를 들어 디바이스에서 악성 콘텐츠를 검사하는 바이러스 검사 프로그램이 있습니다. 이 바이러스 검사 프로그램의 커널 확장을 Intune에서 허용되는 커널 확장으로 추가할 수 있습니다. 그런 다음 macOS 디바이스에 확장을 할당합니다.

이 기능을 사용하면 관리자가 사용자가 커널 확장을 재정의하고, 팀 식별자를 추가하고, Intune에서 특정 커널 확장을 추가할 수 있습니다.

커널 확장에 대한 자세한 내용은 커널 확장 (Apple 웹 사이트 열기)으로 이동하세요.

중요

커널 확장은 Apple 실리콘에서 실행되는 macOS 디바이스인 M1 칩이 있는 macOS 디바이스에서 작동하지 않습니다. 이 동작은 ETA 없이 알려진 문제입니다. 작동하도록 할 수 있지만 권장되지는 않습니다. 자세한 내용은 macOS의 커널 확장 (Apple 웹 사이트 열기)으로 이동하세요.

10.15 이상을 실행하는 macOS 디바이스의 경우 시스템 확장을 사용하는 것이 좋습니다(이 문서). 커널 확장 설정을 사용하는 경우 M1 칩이 있는 macOS 디바이스를 커널 확장 프로필 수신에서 제외하는 것이 좋습니다.

필수 구성 요소

• 이 기능은 다음에 적용됩니다.

  • macOS 10.13.2 이상(커널 확장)
  • macOS 10.15 이상(시스템 확장)

  macOS 10.15에서 10.15.4까지 커널 확장 및 시스템 확장을 나란히 실행할 수 있습니다.

• 이 기능을 사용하려면 디바이스는 다음이어야 합니다.

  • 이전에 DEP(디바이스 등록 프로그램)라고 하는 ADE( 자동화된 디바이스 등록)를 사용하여 Intune에 등록되었습니다. 이 등록 옵션에 대한 자세한 내용은 다음을 참조하세요.

    • macOS 디바이스에 대한 ADE(자동화된 디바이스 등록)
    • macOS 디바이스 자동 등록

    OR

  • 사용자 승인 등록이라고도 하는 디바이스 등록을 사용하여 Intune 에 등록되었습니다. 이 등록 방법은 개인 소유 디바이스에서 일반적입니다. 이 등록 옵션에 대한 자세한 내용은 다음을 참조하세요.

    • BYOD: macOS 디바이스에 대한 디바이스 등록
    • macOS High Sierra에서 커널 확장 변경 준비 (Apple 웹 사이트 열기)

  macOS 디바이스에 대한 등록 옵션에 대한 자세한 내용은 등록 가이드: Microsoft Intune macOS 디바이스 등록을 참조하세요.

• 정책을 만들려면 최소한 정책 및 프로필 관리자 기본 제공 역할이 있는 계정으로 Microsoft Intune 관리 센터에 로그인합니다. 기본 제공 역할에 대한 자세한 내용은 Microsoft Intune 대한 역할 기반 액세스 제어를 참조하세요.

기억해야 하는 사항

• 서명되지 않은 레거시 커널 확장 및 시스템 확장을 추가할 수 있습니다.
• 확장의 올바른 팀 식별자 및 번들 ID를 입력해야 합니다. Intune은 입력한 값의 유효성을 검사하지 않습니다. 잘못된 정보를 입력하면 디바이스에서 확장이 작동하지 않습니다. 팀 식별자는 정확히 10자의 영숫자 길이입니다.

참고

Apple은 모든 소프트웨어에 대한 서명 및 알증과 관련된 정보를 공개했습니다. macOS 10.14.5 이상에서는 Intune을 통해 배포된 커널 확장이 Apple의 알림 정책을 충족할 필요가 없습니다.

이 표기 정책 및 업데이트 또는 변경 내용에 대한 자세한 내용은 다음 리소스로 이동하세요.

• 배포 전에 앱에 알림 표시(Apple 웹 사이트 열기)
• macOS High Sierra에서 커널 확장 변경 준비 (Apple 웹 사이트 열기)

커널 확장 정책 만들기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>구성>만들기를 선택합니다.

3. 다음 속성을 입력합니다.

   • 플랫폼: macOS 선택
   • 프로필 유형: 템플릿>확장을 선택합니다.

4. 만들기를 선택합니다.

5. 기본에서 다음 속성을 입력합니다.

   • 이름: 정책에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 정책 이름은 커널 확장을 사용한 macOS-AV 검사입니다.
   • 설명: 정책에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

6. 다음을 선택합니다.

7. 구성 설정에서 설정을 구성합니다.

   • macOS

8. 다음을 선택합니다.

9. 범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링하는 태그를 할당합니다. scope 태그에 대한 자세한 내용은 분산 IT에 RBAC 및 scope 태그 사용을 참조하세요.

   다음을 선택합니다.

10. 할당에서 프로필을 수신할 사용자 또는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

    다음을 선택합니다.

11. 검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

리소스

프로필을 할당하고 해당 상태를 모니터링합니다.