Configurações do dispositivo macOS para configurar e usar extensões de kernel e sistema no Intune

Observação

• Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.
• As extensões de kernel do macOS estão sendo substituídas por extensões do sistema. Para obter mais informações, acesse Dica de suporte: usando extensões de sistema em vez de extensões de kernel para macOS Catalina 10.15 em Intune.

Este artigo descreve as diferentes configurações de kernel e extensão do sistema que você pode controlar em dispositivos macOS. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para adicionar e gerenciar extensões em seus dispositivos.

Esse recurso aplica-se a:

• macOS

Para saber mais sobre extensões em Intune e quaisquer pré-requisitos, acesse adicionar extensões macOS.

Essas configurações são adicionadas a um perfil de configuração de dispositivo no Intune e atribuídas ou implantadas em seus dispositivos macOS.

Antes de começar

• Crie um perfil de configuração de dispositivo de extensões macOS.
• Essas configurações se aplicam a diferentes tipos de registro. Para obter mais informações sobre os diferentes tipos de registro, acesse o registro do macOS.

Extensões do Kernel

Esse recurso aplica-se a:

• macOS 10.13.2 e mais recente

O que você precisa saber

• As extensões do kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS em execução no silício da Apple. Esse comportamento é um problema conhecido, sem ETA.

• Para todos os dispositivos macOS que executam 10.15 e mais recentes, recomendamos usar extensões de sistema (neste artigo). Se você usar as configurações de extensões do kernel, considere excluir dispositivos macOS com chips M1 de receber o perfil de extensões do kernel.

As configurações se aplicam a: Registro de dispositivo aprovado pelo usuário, registro automatizado de dispositivo

Observação

Você não precisa adicionar identificadores de equipe e extensões de kernel. Você pode configurar um ou outro.

• Permitir substituições de usuário: Sim permite que os usuários aprovem extensões de kernel não incluídas no perfil de configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir que os usuários permitam extensões não incluídas no perfil de configuração. Ou seja, somente extensões incluídas no perfil de configuração são permitidas.

  Para obter mais informações sobre esse recurso, acesse carregamento de extensão de kernel aprovado pelo usuário (abre o site da Apple).

• Identificadores de equipe permitidos: use essa configuração para permitir uma ou muitas IDs de equipe. Todas as extensões de kernel assinadas com as IDs de equipe inseridas são permitidas e confiáveis. Em outras palavras, use essa opção para permitir todas as extensões de kernel dentro da mesma ID de equipe, que pode ser um desenvolvedor ou parceiro específico.

  Insira um identificador de equipe de extensões de kernel válidas e assinadas para carregar. Você pode adicionar vários identificadores de equipe. O identificador de equipe deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, digite ABCDE12345.

  Depois de adicionar um identificador de equipe, ele também pode ser excluído.

  Localizar sua ID da Equipe (abre o site da Apple) tem mais informações.

  Dica

  A ID da Equipe é armazenada no banco de dados kextPolicy local. Você pode obter a ID da Equipe usando o sqlite3 comando de um dispositivo macOS que tem o mesmo aplicativo instalado:

  1. No dispositivo macOS, abra o aplicativo Terminal e execute o seguinte script:

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • Em nosso exemplo, o nome do volume é Macintosh HD. Atualize o script com o nome do volume.
     • Certifique-se de que você tem acesso raiz e pode executar um SUDO comando no dispositivo.

  2. Examine a saída. A primeira entrada é a ID da Equipe. Em nosso exemplo, a ID da Equipe é PXPZ95SK77:

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• Extensões de Kernel permitidas: use essa configuração para permitir extensões de kernel específicas. Somente as extensões de kernel inseridas são permitidas ou confiáveis.

  Insira o identificador de pacote e o identificador de equipe de uma extensão do kernel a ser carregada. Para extensões de kernel herdadas não assinadas, use um identificador de equipe vazio. Você pode adicionar várias extensões de kernel. O identificador de equipe deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, insira com.contoso.appname.macos para ID do pacote e ABCDE12345 para identificador de equipe.

  Dica

  Para obter a ID do Pacote de uma extensão de kernel (Kext) em um dispositivo macOS, você pode:

  1. No aplicativo Terminal, execute kextstat | grep -v com.applee observe a saída. Instale o software ou o Kext desejado. Execute kextstat | grep -v com.apple novamente e procure alterações.

     No aplicativo Terminal, kextstat lista todas as extensões de kernel no sistema operacional.

  2. No dispositivo, abra o arquivo Lista de Propriedades de Informações (Info.plist) para um Kext. A ID do pacote é mostrada. Cada Kext tem um arquivo Info.plist armazenado no interior.

Extensões do sistema

Esse recurso aplica-se a:

• macOS 10.15 e mais recente

As configurações se aplicam a: Registro de dispositivo aprovado pelo usuário, registro automatizado de dispositivo

Observação

Adicionar a mesma ID de equipe para extensões de sistema permitidas e identificadores de equipe permitidos pode resultar em um erro e falha no perfil. Não adicione o mesmo Identificador de Equipe exato a ambas as configurações.

• Bloquear Substituições de Usuário: Sim impede que os usuários aprovem extensões de sistema que não estão na lista permitida. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários aprovem extensões desconhecidas não incluídas no perfil de configuração. Ou seja, extensões não incluídas no perfil de configuração são permitidas.

• Identificadores de equipe permitidos: use essa configuração para permitir uma ou muitas IDs de equipe. Todas as extensões de sistema assinadas com as IDs de equipe inseridas sempre são permitidas e confiáveis. Em outras palavras, use essa opção para permitir todas as extensões de sistema dentro da mesma ID de equipe, que pode ser um desenvolvedor ou parceiro específico.

  Insira um identificador de equipe de extensões de sistema válidas e assinadas para carregar. Você pode adicionar vários identificadores de equipe. O identificador de equipe deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, digite ABCDE12345.

  Depois de adicionar um identificador de equipe, ele também pode ser excluído.

  Localizar sua ID da Equipe (abre o site da Apple) tem mais informações.

  Dica

  Você também pode obter a ID da equipe de um mac em que o aplicativo está instalado

  No aplicativo Terminal, execute:

  systemextensionsctl list

  e observe a saída:

  E.g. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  A primeira entrada é a ID da equipe que você precisa. UBF8T346G9 em nosso exemplo

• Extensões de sistema permitidas: use essa configuração para sempre permitir extensões específicas do sistema. Somente as extensões de sistema inseridas são permitidas ou confiáveis.

  Insira o identificador de pacote e o identificador de equipe de uma extensão do sistema a ser carregada. Para extensões de sistema herdadas não assinadas, use um identificador de equipe vazio. Você pode adicionar várias extensões de sistema. O identificador de equipe deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, insira com.contoso.appname.macos para ID do pacote e ABCDE12345 para identificador de equipe.

• Tipos de extensão do sistema permitidos: insira a ID da equipe e os tipos de extensão do sistema para permitir essa ID da Equipe:

  • Identificador de equipe: insira a ID da equipe de outra extensão do sistema que você deseja permitir tipos de extensão específicos. Ou insira uma ID de equipe que você adicionou às extensões de sistema permitidas.

  • Tipos de extensão do sistema permitidos: selecione os tipos de extensão do sistema para permitir cada ID da Equipe. Suas opções:

    • Selecione tudo
    • Extensões de driver
    • Extensões de rede
    • Extensões de segurança do ponto de extremidade

    Para obter mais informações sobre esses tipos de extensão, acesse Extensões do Sistema (abre o site da Apple).

    Você pode adicionar uma ID de equipe da lista de extensões do sistema permitido e permitir um tipo de extensão específico. Se a extensão for um tipo que não é permitido, a extensão poderá não ser executada.

    Para permitir todos os tipos de extensão para uma ID da Equipe, adicione a ID da Equipe à lista de extensões do sistema permitido . Não adicione a ID da equipe à lista de tipos de extensão de sistema permitidos . Em outras palavras, se uma ID de equipe estiver na lista extensões de sistema permitido e não na lista de tipos de extensão do sistema permitido , todos os tipos de extensão serão permitidos para essa ID da equipe.

Artigos relacionados

Atribuir o perfil e monitorar seu status.