Dodawanie rozszerzeń systemu macOS i jądra w usłudze Intune

Na urządzeniach z systemem macOS można dodawać rozszerzenia jądra i rozszerzenia systemowe. Zarówno rozszerzenia jądra, jak i rozszerzenia systemowe umożliwiają użytkownikom instalowanie rozszerzeń aplikacji, które rozszerzają natywne możliwości systemu operacyjnego. Rozszerzenia jądra wykonują swój kod na poziomie jądra. Rozszerzenia systemowe działają w ściśle kontrolowanym obszarze użytkownika.

Uwaga

Rozszerzenia jądra systemu macOS są zastępowane rozszerzeniami systemu. Aby uzyskać więcej informacji, przejdź do tematu Porada pomocy technicznej: używanie rozszerzeń systemowych zamiast rozszerzeń jądra dla systemu macOS Catalina 10.15 w usłudze Intune.

Aby dodać rozszerzenia, które zawsze mogą być ładowane na urządzeniach, użyj Microsoft Intune. Usługa Intune używa profilów konfiguracji do tworzenia i dostosowywania tych ustawień zgodnie z potrzebami organizacji. Po dodaniu tych funkcji do zasad należy wypchnąć lub wdrożyć zasady na urządzeniach z systemem macOS w organizacji.

Ta funkcja ma zastosowanie do:

• macOS

W tym artykule opisano rozszerzenia systemu i rozszerzenia jądra. Przedstawiono w nim również sposób tworzenia zasad konfiguracji urządzenia przy użyciu rozszerzeń jądra w usłudze Intune.

Rozszerzenia systemu

Rozszerzenia systemowe działają w przestrzeni użytkownika i nie uzyskują dostępu do jądra. Ich celem jest zwiększenie bezpieczeństwa, zapewnienie większej kontroli nad użytkownikami końcowymi i ograniczenie ataków na poziomie jądra. Te rozszerzenia mogą być następujące:

• Rozszerzenia sterowników, w tym sterowniki usb, karty sieciowe (NIC), kontrolery szeregowe i urządzenia interfejsu ludzkiego (HID)
• Rozszerzenia sieci, w tym filtry zawartości, serwery proxy DNS i klienci sieci VPN
• Rozszerzenia zabezpieczeń punktu końcowego, w tym wykrywanie punktów końcowych, reagowanie na punkty końcowe i oprogramowanie antywirusowe

Rozszerzenia systemowe są zawarte w pakiecie aplikacji i instalowane z poziomu aplikacji. W szczególności należy napisać rozszerzenie systemu, a następnie spakować rozszerzenie w pakiecie aplikacji. Aby uzyskać więcej informacji, przejdź do rozszerzenia systemu (otwiera witrynę internetową firmy Apple).

Gdy aplikacja z rozszerzeniem systemu jest gotowa, możesz wdrożyć aplikację przy użyciu Microsoft Intune. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie aplikacji do Microsoft Intune.

Rozszerzenia jądra

Uwaga

Rozszerzenia jądra systemu macOS są zastępowane rozszerzeniami systemu. Aby uzyskać więcej informacji, przejdź do tematu Porada pomocy technicznej: używanie rozszerzeń systemowych zamiast rozszerzeń jądra dla systemu macOS Catalina 10.15 w usłudze Intune.

Rozszerzenia jądra dodają funkcje na poziomie jądra. Te funkcje uzyskują dostęp do części systemu operacyjnego, do których zwykłe programy nie mają dostępu. Mogą być używane, jeśli twoja organizacja ma określone potrzeby lub wymagania, które nie są dostępne w aplikacji lub funkcji urządzenia.

Na przykład masz program do skanowania wirusów, który skanuje urządzenie pod kątem złośliwej zawartości. Rozszerzenie jądra programu skanowania wirusów można dodać jako dozwolone rozszerzenie jądra w usłudze Intune. Następnie przypisz rozszerzenie do urządzeń z systemem macOS.

Dzięki tej funkcji administratorzy mogą zezwalać użytkownikom na zastępowanie rozszerzeń jądra, dodawanie identyfikatorów zespołu i dodawanie określonych rozszerzeń jądra w usłudze Intune.

Aby uzyskać więcej informacji na temat rozszerzeń jądra, przejdź do rozszerzenia jądra (otwiera witrynę internetową firmy Apple).

Ważna

Rozszerzenia jądra nie działają na urządzeniach z systemem macOS z mikroukładem M1, które są urządzeniami z systemem macOS działającymi na silikonie firmy Apple. To zachowanie jest znanym problemem bez eta. Jest możliwe, że możesz je nakłonić do pracy, ale nie jest to zalecane. Aby uzyskać więcej informacji, przejdź do obszaru Rozszerzenia jądra w systemie macOS (otwiera witrynę internetową firmy Apple).

W przypadku wszystkich urządzeń z systemem macOS z systemem 10.15 lub nowszym zalecamy używanie rozszerzeń systemowych (w tym artykule). Jeśli używasz ustawień rozszerzeń jądra, rozważ wykluczenie urządzeń z systemem macOS z mikroukładami M1 z otrzymywania profilu rozszerzeń jądra.

Wymagania wstępne

• Ta funkcja ma zastosowanie do:

  • MacOS 10.13.2 i nowsze (rozszerzenia jądra)
  • MacOS 10.15 i nowsze (rozszerzenia systemowe)

  Od systemu macOS 10.15 do wersji 10.15.4 rozszerzenia jądra i rozszerzenia systemowe mogą działać obok siebie.

• Aby korzystać z tej funkcji, urządzenia muszą być następujące:

  • Zarejestrowane w usłudze Intune przy użyciu funkcji automatycznej rejestracji urządzeń (ADE), wcześniej nazywanej programem Device Enrollment Program (DEP). Aby uzyskać więcej informacji na temat tej opcji rejestracji, przejdź do:

    • Automatyczna rejestracja urządzeń (ADE) dla urządzeń z systemem macOS
    • Automatyczne rejestrowanie urządzeń z systemem macOS

    LUB

  • Zarejestrowano w usłudze Intune przy użyciu rejestracji urządzenia, znanej również jako rejestracja zatwierdzona przez użytkownika. Ta metoda rejestracji jest powszechna na urządzeniach osobistych. Aby uzyskać więcej informacji na temat tej opcji rejestracji, przejdź do:

    • BYOD: Rejestrowanie urządzeń z systemem macOS
    • Przygotowanie do zmian w rozszerzeniach jądra w systemie macOS High Sierra (otwiera witrynę internetową firmy Apple)

  Aby uzyskać więcej informacji na temat opcji rejestracji urządzeń z systemem macOS, przejdź do przewodnika rejestrowania: Rejestrowanie urządzeń z systemem macOS w Microsoft Intune.

• Aby utworzyć zasady, co najmniej zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta z wbudowaną rolą Menedżer zasad i profilów. Aby uzyskać więcej informacji na temat wbudowanych ról, przejdź do obszaru Kontrola dostępu oparta na rolach dla Microsoft Intune.

Co musisz wiedzieć

• Można dodać niepodpisane starsze rozszerzenia jądra i rozszerzenia systemowe.
• Pamiętaj, aby wprowadzić prawidłowy identyfikator zespołu i identyfikator pakietu rozszerzenia. Usługa Intune nie weryfikuje wprowadzonych wartości. Jeśli wprowadzisz nieprawidłowe informacje, rozszerzenie nie będzie działać na urządzeniu. Identyfikator zespołu ma dokładnie 10 znaków alfanumerycznych.

Uwaga

Firma Apple opublikowała informacje dotyczące podpisywania i notaryzacji dla całego oprogramowania. W systemie macOS 10.14.5 i nowszych rozszerzenia jądra wdrożone za pośrednictwem usługi Intune nie muszą spełniać zasad notaryzacji firmy Apple.

Aby uzyskać informacje na temat tych zasad notaryzacji oraz wszelkich aktualizacji lub zmian, przejdź do następujących zasobów:

• Notalizowanie aplikacji przed dystrybucją (otwiera witrynę internetową firmy Apple)
• Przygotowanie do zmian w rozszerzeniach jądra w systemie macOS High Sierra (otwiera witrynę internetową firmy Apple)

Tworzenie zasad rozszerzenia jądra

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęUtwórzkonfigurację>urządzeń>.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz system macOS
   • Typ profilu: wybierz pozycję Rozszerzenia szablonów>.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawowe informacje wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą zasad jest skanowanie macOS-AV przy użyciu rozszerzeń jądra.
   • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji skonfiguruj ustawienia:

   • macOS

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Zasoby

Pamiętaj, aby przypisać profil i monitorować jego stan.