Intune에서 macOS 시스템 및 커널 확장 추가

참고

macOS 커널 확장이 시스템 확장으로 대체됩니다. 자세한 내용은 지원 팁: Intune에서 macOS Catalina 10.15용 커널확장 대신 시스템 확장 사용을 참조하세요.

macOS 장치에서 커널 확장 및 시스템 확장을 추가할 수 있습니다. 커널 확장과 시스템 확장을 모두 사용하여 사용자는 운영 체제의 기본 기능을 확장하는 앱 확장을 설치할 수 있습니다. 커널 확장은 커널 수준에서 코드를 실행합니다. 시스템 확장은 긴밀하게 제어되는 사용자 공간에서 실행됩니다.

디바이스에서 로드가 항상 허용되는 확장을 추가하기 위해 Microsoft Intune. Intune은 "구성 프로필"을 사용하여 조직의 요구 사항에 맞게 이러한 설정을 만들고 사용자 지정합니다. 프로필에 이러한 기능을 추가한 후 프로필을 조직의 macOS 장치에 푸시하거나 배포합니다.

이 문서에서는 시스템 확장 및 커널 확장에 대해 설명합니다. 또한 Intune에서 확장을 사용하여 장치 구성 프로필을 만드는 방법도 보여 주며,

시스템 확장

시스템 확장은 사용자 공간에서 실행하며 커널에 액세스하지 않습니다. 목표는 보안을 강화하고, 최종 사용자 제어를 더 많이 제공하고, 커널 수준 공격을 제한하는 것입니다. 이러한 확장은 다음이 될 수 있습니다.

  • USB에 대한 드라이버, NIC(네트워크 인터페이스 카드), 직렬 컨트롤러 및 HID(휴먼 인터페이스 장치)를 포함한 드라이버 확장
  • 콘텐츠 필터, DNS Proxies 및 VPN 클라이언트를 포함한 네트워크 확장
  • 끝점 검색, 끝점 응답 및 바이러스 백신을 포함한 끝점 보안 확장

시스템 확장은 앱의 번들에 포함되어 앱에서 설치됩니다.

시스템 확장에 대한 자세한 내용은 시스템 확장(Apple의 웹 사이트 열기)을 참조하세요.

커널 확장

커널 확장은 커널 수준에서 기능을 추가합니다. 이러한 기능은 일반 프로그램이 액세스할 수 없는 OS의 부분에 액세스합니다. 조직에는 앱, 장치 기능 등에서 사용할 수 없는 특정 요구 사항이나 요구 사항이 있을 수 있습니다.

예를 들어 장치에 악성 콘텐츠가 검색되는 바이러스 검사 프로그램이 있습니다. Intune에서 이 바이러스 검사 프로그램의 커널 확장을 허용된 커널 확장으로 추가할 수 있습니다. 그런 다음 macOS 장치에 확장을 "할당"합니다.

관리자는 이 기능을 사용하여 사용자가 커널 확장을 재지정하고, 팀 식별자를 추가하고, Intune에서 특정 커널 확장을 추가할 수 있도록 허용할 수 있습니다.

커널 확장에 대한 자세한 내용은 커널 확장(Apple의 웹 사이트 열기)을 참조하세요.

중요

커널 확장은 Apple 실리콘에서 실행되는 macOS 장치인 M1 칩을 통해 macOS 장치에서 작동하지 않습니다. 이 동작은 ETA가 없는 알려진 문제입니다. 작동할 수 있지만 권장되지는 않습니다. 자세한 내용은 macOS의 커널 확장(Apple의 웹 사이트 열기)을 참조하세요.

10.15 이상을 실행하는 macOS 장치의 경우 시스템 확장을 사용하는 것이 좋습니다(이 문서). 커널 확장 설정을 사용하는 경우 M1 칩이 있는 macOS 디바이스에서 커널 확장 프로필을 받지 못하게 제외하는 것이 좋습니다.

필수 구성 요소

  • 이 기능은 다음에 적용됩니다.

    • macOS 10.13.2 이상(커널 확장)
    • macOS 10.15 이상(시스템 확장)

    macOS 10.15에서 10.15.4까지 커널 확장과 시스템 확장을 나란히 실행할 수 있습니다.

  • 이 기능을 사용하려면 장치가 다음을 해야 합니다.

기억해야 하는 사항

  • 부호 없는 레거시 커널 확장 및 시스템 확장을 추가할 수 있습니다.
  • 확장의 올바른 팀 식별자 및 번들 ID를 입력해야 합니다. Intune은 입력한 값의 유효성을 검사하지 않습니다. 잘못된 정보를 입력하면 디바이스에서 확장이 작동하지 않습니다. 팀 식별자는 영문자 10자입니다.

참고

Apple은 모든 소프트웨어에 대한 서명 및 비고에 관한 정보를 출시했습니다. macOS 10.14.5 이상에서는 Intune을 통해 배포된 커널 확장이 Apple의 공인 정책을 충족할 수 없습니다.

이 공인 정책 및 모든 업데이트 또는 변경에 대한 자세한 내용은 다음 리소스를 참조하십시오.

프로필 만들기

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스 구성 > 구성 프로필 > 프로필 만들기 를 선택합니다.

  3. 다음 속성을 입력합니다.

    • 플랫폼: macOS 선택
    • 프로필: 템플릿 > 확장을 선택합니다.
  4. 만들기 를 선택합니다.

  5. 기본 에서 다음 속성을 입력합니다.

    • 이름: 정책에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 macOS: 디바이스의 커널 확장에 AV 검색 추가를 좋은 정책 이름으로 지정합니다.
    • 설명: 정책에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
  6. 다음 을 선택합니다.

  7. 구성 설정에서 설정을 구성합니다.

  8. 다음 을 선택합니다.

  9. 범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링하는 태그를 할당합니다. 범위 태그에 대한 자세한 내용은 분산형 IT에 RBAC 및 범위 태그 사용을 참조하세요.

    다음 을 선택합니다.

  10. 할당 에서 프로필을 수신할 사용자 또는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.

    다음 을 선택합니다.

  11. 검토 + 만들기 에서 설정을 검토합니다. 만들기 를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

다음 단계

프로필을 할당하고 해당 상태를 모니터링합니다.