在 Intune 中添加 macOS 系统和内核扩展

备注

macOS 内核扩展正替换为系统扩展。 有关详细信息,请参阅 Intune 中的支持提示:使用系统扩展而不是 macOS Catalina 10.15 的内核扩展

在 macOS 设备上,你可以添加内核扩展和系统扩展。 内核扩展和系统扩展都允许用户安装扩展操作系统本机功能的应用扩展。 内核扩展在内核级别执行其代码。 系统扩展在严格控制的用户空间中运行。

若要添加始终允许在设备上加载的扩展,请使用Microsoft Intune。 Intune 使用"配置文件"创建和自定义这些设置以满足组织的需求。 在配置文件中添加这些功能后,将配置文件推送或部署到您组织的 macOS 设备。

本文介绍了系统扩展和内核扩展。 它还演示了如何使用 Intune 中的扩展创建设备配置文件。

系统扩展

系统扩展在用户空间中运行,并且无法访问内核。 目标是提高安全性、提供更多最终用户控制并限制内核级别攻击。 这些扩展可以是:

  • 驱动程序扩展,包括 USB 驱动程序、网络接口卡 (NIC) 、串行控制器以及 HID (人机接口)
  • 网络扩展,包括内容筛选器、DNS 代理和 VPN 客户端
  • 终结点安全扩展,包括终结点检测、终结点响应和防病毒

系统扩展包含在应用的捆绑包中,并且从应用安装。

有关系统扩展详细信息,请参阅系统 扩展 (打开 Apple 的网站) 。

内核扩展

内核扩展在内核级别添加功能。 这些功能访问常规程序无法访问的操作系统部分。 你的组织可能有在应用、设备功能等中不可用的特定需求或要求。

例如,你有一个病毒扫描程序,用于扫描你的设备是否包含恶意内容。 你可以将此病毒扫描程序的内核扩展添加为 Intune 中允许的内核扩展。 然后,将扩展"分配"到 macOS 设备。

通过此功能,管理员可以允许用户替代内核扩展、添加团队标识符,以及添加 Intune 中的特定内核扩展。

有关内核扩展详细信息,请参阅内核扩展 (打开 Apple 的网站) 。

重要

内核扩展在具有 M1 芯片的 macOS 设备上不起作用,M1 芯片是运行在 Apple 芯片上的 macOS 设备。 此行为是一个已知问题,没有 ETA。 可以让他们工作,但不建议这样做。 有关详细信息,请参阅 macOS 中的内核扩展 ( 打开 Apple 的网站) 。

对于运行 10.15 及更高版本的任何 macOS 设备,我们建议在本文 (使用系统) 。 如果使用内核扩展设置,请考虑将具有 M1 芯片的 macOS 设备从接收内核扩展配置文件中排除。

先决条件

  • 此功能适用于:

    • macOS 10.13.2 和更高版本 (内核扩展)
    • macOS 10.15 及更高版本 (系统扩展)

    从 macOS 10.15 到 10.15.4,内核扩展和系统扩展可以并行运行。

  • 若要使用此功能,设备必须:

    • 使用 Apple 的设备注册计划在 Intune 中注册 (DEP) 。 自动注册 macOS 设备 包含详细信息。

    • 在 Intune 中注册"用户批准的注册 (Apple 的术语) 。 准备对 macOS High Sierra 中的内核扩展 (打开 Apple 的网站) 了解详细信息。

您需要了解哪些信息

  • 可以添加未签名的旧内核扩展和系统扩展。
  • 请务必输入扩展的正确团队标识符和捆绑包 ID。 Intune 不验证你输入的值。 如果输入的信息错误,扩展在设备上将不起作用。 团队标识符正好是 10 个字母数字字符长。

备注

Apple 发布了有关所有软件的签名和签名的信息。 在 macOS 10.14.5 及更高版本上,通过 Intune 部署的内核扩展不必符合 Apple 的表示法策略。

有关此表示策略以及任何更新或更改的信息,请参阅以下资源:

创建配置文件

  1. 登录到管理Microsoft Endpoint Manager中心

  2. 选择 "设备 > 配置文件"" > 创建配置文件"。

  3. 输入以下属性:

    • 平台:选择 macOS
    • 配置文件:选择 模板 > 扩展
  4. 选择“创建”。

  5. "基本" 中,输入以下属性:

    • 名称:输入策略的描述性名称。 命名策略,以便稍后轻松识别它们。 例如,一个很好的策略名称是 macOS:将 AV 扫描添加到设备的内核扩展。
    • 说明:输入策略的说明。 此设置是可选的,但建议这样做。
  6. 选择 下一步

  7. "配置设置" 中,配置设置:

  8. 选择 下一步

  9. Scope 标记 (可选) ,分配一个标记以将配置文件筛选到特定 IT 组,例如 US-NC IT TeamJohnGlenn_ITDepartment 。 有关范围标记详细信息,请参阅对分布式 IT 使用 RBAC 和范围标记

    选择 下一步

  10. " 分配"中,选择将接收你的配置文件的用户或组。 有关分配配置文件的信息,请参阅分配 用户和设备配置文件

    选择 下一步

  11. "查看 + 创建" 中,查看设置。 When you select Create, your changes are saved, and the profile is assigned. 策略也显示在配置文件列表中。

后续步骤

请务必分配配置文件并监视其状态