用于在 Intune 中配置和使用内核和系统扩展的 macOS 设备设置

注意

• Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录，并且不会记录。 若要查看可以配置的设置，请创建设备配置策略，然后选择 “设置目录”。 有关详细信息，请转到 设置目录。
• macOS 内核扩展正在替换为系统扩展。 有关详细信息，请转到支持提示：在 Intune 中使用系统扩展而不是 macOS Catalina 10.15 的内核扩展。

本文介绍可在 macOS 设备上控制的不同内核和系统扩展设置。 作为移动设备管理 (MDM) 解决方案的一部分，使用这些设置在设备上添加和管理扩展。

此功能适用于：

• macOS

若要详细了解 Intune 中的扩展以及任何先决条件，请转到添加 macOS 扩展。

这些设置将添加到 Intune 中的设备配置文件，然后分配或部署到 macOS 设备。

开始之前

• 创建 macOS 扩展设备配置文件。
• 这些设置适用于不同的注册类型。 有关不同注册类型的详细信息，请转到 macOS 注册。

内核扩展

此功能适用于：

• macOS 10.13.2 及更新版本

须知内容

• 内核扩展不适用于具有 M1 芯片的 macOS 设备，这些设备是在 Apple silicon 上运行的 macOS 设备。 此行为是一个已知问题，没有 ETA。

• 对于运行 10.15 及更新版本的任何 macOS 设备，我们建议使用本文) 中的 系统扩展 (。 如果使用内核扩展设置，请考虑将具有 M1 芯片的 macOS 设备排除在接收内核扩展配置文件之外。

设置适用于：用户批准的设备注册、自动设备注册

注意

无需添加团队标识符和内核扩展。 可以配置一个或另一个。

• 允许用户替代： “是 ”允许用户批准配置文件中未包括的内核扩展。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止用户允许未包含在配置文件中的扩展。 这意味着，仅允许配置文件中包含的扩展。

  有关此功能的详细信息，请转到 用户批准的内核扩展加载 (打开 Apple 网站) 。

• 允许的团队标识符：使用此设置可允许一个或多个团队 ID。 允许且信任使用输入的团队 ID 签名的任何内核扩展。 换句话说，使用此选项可允许同一团队 ID（可以是特定开发人员或合作伙伴）中的所有内核扩展。

  输入要加载的有效且已签名内核扩展的团队标识符。 可以添加多个团队标识符。 团队标识符必须是字母数字 (字母和数字) 且包含 10 个字符。 例如，输入 ABCDE12345。

  添加团队标识符后，也可以将其删除。

  找到团队 ID (打开 Apple 网站，) 了解详细信息。

  提示

  团队 ID 存储在本地 KextPolicy 数据库中。 可以使用 命令从安装了相同应用的 macOS 设备获取团队 ID sqlite3 ：

  1. 在 macOS 设备上，打开终端应用，并运行以下脚本：

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • 在我们的示例中，卷名称为 Macintosh HD。 使用卷名称更新脚本。
     • 请确保你具有根访问权限，并且可以在设备上运行 SUDO 命令。

  2. 查看输出。 第一个条目是团队 ID。 在我们的示例中，团队 ID 为 PXPZ95SK77：

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• 允许的内核扩展：使用此设置允许特定的内核扩展。 仅允许或信任输入的内核扩展。

  输入要加载的内核扩展的捆绑标识符和团队标识符。 对于未签名的旧内核扩展，请使用空团队标识符。 可以添加多个内核扩展。 团队标识符必须是字母数字 (字母和数字) 且包含 10 个字符。 例如，对于“捆绑 ID”，ABCDE12345输入 com.contoso.appname.macos “团队标识符”。

  提示

  若要在 macOS 设备上获取内核扩展 (Kext) 的捆绑 ID，可以：

  1. 在终端应用中，运行 kextstat | grep -v com.apple并记下输出。 安装所需的软件或 Kext。 再次运行 kextstat | grep -v com.apple ，并查找更改。

     在终端应用中， kextstat 列出 OS 上的所有内核扩展。

  2. 在设备上，打开“信息属性列表”文件， (Kext 的 Info.plist) 。 显示捆绑 ID。 每个 Kext 都有一个 Info.plist 文件存储在其中。

系统扩展

此功能适用于：

• macOS 10.15 及更高版本

设置适用于：用户批准的设备注册、自动设备注册

注意

为 允许的系统扩展 和 允许的团队标识符添加相同的团队 ID 可能会导致错误和配置文件失败。 不要将完全相同的团队标识符添加到这两个设置。

• 阻止用户替代： “是 ”会阻止用户批准不在允许列表中的系统扩展。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户批准配置文件中未包括的未知扩展。 这意味着，允许配置文件中未包含的扩展。

• 允许的团队标识符：使用此设置可允许一个或多个团队 ID。 始终允许和信任使用输入的团队 ID 签名的任何系统扩展。 换句话说，使用此选项允许同一团队 ID 中的所有系统扩展，可以是特定的开发人员或合作伙伴。

  输入要加载的有效且已签名的系统扩展 的团队标识符 。 可以添加多个团队标识符。 团队标识符必须是字母数字 (字母和数字) 且包含 10 个字符。 例如，输入 ABCDE12345。

  添加团队标识符后，也可以将其删除。

  找到团队 ID (打开 Apple 网站，) 了解详细信息。

  提示

  还可以从安装了应用程序的 Mac 获取团队 ID

  在终端应用中，运行：

  systemextensionsctl list

  并记下输出：

  例如 UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  第一个条目是所需的团队 ID。 UBF8T346G9 在我们的示例中

• 允许的系统扩展：使用此设置始终允许特定的系统扩展。 仅允许或信任输入的系统扩展。

  输入要加载的系统扩展的 捆绑标识符 和 团队标识符 。 对于未签名的旧系统扩展，请使用空的团队标识符。 可以添加多个系统扩展。 团队标识符必须是字母数字 (字母和数字) 且包含 10 个字符。 例如，对于“捆绑 ID”，ABCDE12345输入 com.contoso.appname.macos “团队标识符”。

• 允许的系统扩展类型：输入团队 ID 和系统扩展类型以允许该团队 ID：

  • 团队标识符：输入要允许特定扩展类型的另一个系统扩展的团队 ID。 或者，输入添加到 允许的系统扩展的团队 ID。

  • 允许的系统扩展类型：选择要为每个团队 ID 允许的系统扩展类型。 选项包括：

    • 全选
    • 驱动程序扩展
    • 网络扩展
    • 终结点安全扩展插件

    有关这些扩展类型的详细信息，请转到 系统扩展 (打开 Apple 网站) 。

    可以从 “允许的系统扩展 ”列表中添加团队 ID，并允许特定的扩展类型。 如果扩展是不允许的类型，则扩展可能不会运行。

    若要允许团队 ID 的所有扩展类型，请将团队 ID 添加到 “允许的系统扩展 ”列表。 不要将团队 ID 添加到 “允许的系统扩展类型 ”列表中。 换句话说，如果团队 ID 位于 “允许的系统扩展 ”列表中，而不是“ 允许的系统扩展类型 ”列表中，则允许该团队 ID 使用所有扩展类型。

相关文章

分配配置文件并监视其状态。