Přidání rozšíření systému a jádra macOS do Intune

Na zařízeních s macOS můžete přidat rozšíření jádra a systémová rozšíření. Rozšíření jádra i systémová rozšíření umožňují uživatelům instalovat rozšíření aplikací, která rozšiřují nativní možnosti operačního systému. Rozšíření jádra spouštějí svůj kód na úrovni jádra. Systémová rozšíření běží v úzce řízeném uživatelském prostoru.

Poznámka

Rozšíření jádra macOS se nahrazují systémovými rozšířeními. Další informace najdete v článku Tip podpory: Používání systémových rozšíření místo rozšíření jádra pro macOS Catalina 10.15 v Intune.

Pokud chcete přidat rozšíření, která se vždy můžou načítat na vašich zařízeních, použijte Microsoft Intune. Intune používá konfigurační profily k vytvoření a přizpůsobení těchto nastavení pro potřeby vaší organizace. Po přidání těchto funkcí do zásady pak nasdílíte nebo nasadíte zásadu na zařízení s macOS ve vaší organizaci.

Tato funkce platí pro:

• macOS

Tento článek popisuje systémová rozšíření a rozšíření jádra. Také ukazuje, jak vytvořit zásady konfigurace zařízení pomocí rozšíření jádra v Intune.

Systémová rozšíření

Systémová rozšíření běží v uživatelském prostoru a nepřistupují k jádru. Jejich cílem je zvýšit zabezpečení, poskytnout více kontroly koncovým uživatelům a omezit útoky na úrovni jádra. Tato rozšíření můžou být:

• Rozšíření ovladačů, včetně ovladačů usb, síťových karet (NIC), sériových řadičů a zařízení HID (Human Interface Device)
• Síťová rozšíření, včetně filtrů obsahu, proxy serverů DNS a klientů VPN
• Rozšíření zabezpečení koncových bodů, včetně detekce koncových bodů, odezvy koncového bodu a antivirového softwaru

Systémová rozšíření jsou součástí sady aplikací a instalují se z aplikace. Konkrétně napíšete systémové rozšíření a pak ho zabalíte do sady aplikací. Další informace najdete v části Systémová rozšíření (otevře web společnosti Apple).

Až bude aplikace se systémovým rozšířením připravená, můžete ji nasadit pomocí Microsoft Intune. Další informace najdete v článku Přidání aplikací do Microsoft Intune.

Rozšíření jádra

Poznámka

Rozšíření jádra macOS se nahrazují systémovými rozšířeními. Další informace najdete v článku Tip podpory: Používání systémových rozšíření místo rozšíření jádra pro macOS Catalina 10.15 v Intune.

Rozšíření jádra přidávají funkce na úrovni jádra. Tyto funkce mají přístup k částem operačního systému, ke kterým běžné programy nemají přístup. Dají se použít, pokud má vaše organizace konkrétní potřeby nebo požadavky, které nejsou k dispozici v aplikaci nebo funkci zařízení.

Máte například program pro vyhledávání virů, který ve vašem zařízení vyhledává škodlivý obsah. Rozšíření jádra tohoto antivirového programu můžete přidat jako povolené rozšíření jádra v Intune. Pak rozšíření přiřaďte svým zařízením s macOS.

Díky této funkci můžou správci uživatelům povolit přepsání rozšíření jádra, přidání identifikátorů týmu a přidání konkrétních rozšíření jádra v Intune.

Další informace o rozšířeních jádra najdete v článku o rozšířeních jádra (otevře web společnosti Apple).

Důležité

Rozšíření jádra nefungují na zařízeních s macOS s čipem M1, což jsou zařízení s macOS běžící na procesoru Apple Silicon. Toto chování je známý problém bez ETA. Je možné, že je můžete dostat do práce, ale nedoporučuje se to. Další informace najdete v článku Rozšíření jádra v macOS (otevře web společnosti Apple).

Pro všechna zařízení s macOS se systémem 10.15 a novějšími doporučujeme používat systémová rozšíření (v tomto článku). Pokud použijete nastavení rozšíření jádra, zvažte vyloučení zařízení s macOS s čipy M1 z příjmu profilu rozšíření jádra.

Požadavky

• Tato funkce platí pro:

  • macOS 10.13.2 a novější (rozšíření jádra)
  • macOS 10.15 a novější (systémová rozšíření)

  Od macOS 10.15 do 10.15.4 můžou rozšíření jádra a systémová rozšíření běžet vedle sebe.

• Aby bylo možné tuto funkci používat, musí být zařízení následující:

  • Zaregistrované v Intune pomocí automatizované registrace zařízení (ADE), dříve označované jako Program registrace zařízení (DEP). Další informace o této možnosti registrace najdete tady:

    • Automatizovaná registrace zařízení (ADE) pro zařízení s macOS
    • Automatická registrace zařízení s macOS

    NEBO

  • Zaregistrované v Intune pomocí registrace zařízení, označované také jako registrace schválená uživatelem. Tato metoda registrace je běžná na zařízeních v osobním vlastnictví. Další informace o této možnosti registrace najdete tady:

    • BYOD: Registrace zařízení pro zařízení s macOS
    • Příprava na změny rozšíření jádra v macOS High Sierra (otevře web Společnosti Apple)

  Další informace o možnostech registrace zařízení s macOS najdete v tématu Průvodce registrací: Registrace zařízení s macOS v Microsoft Intune.

• Pokud chcete vytvořit zásadu, přihlaste se minimálně do Centra pro správu Microsoft Intune pomocí účtu, který má předdefinované role Správce zásad a profilů. Další informace o předdefinovaných rolích najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

Co potřebujete vědět

• Dají se přidat nepodepsaná starší rozšíření jádra a systémová rozšíření.
• Nezapomeňte zadat správný identifikátor týmu a ID sady rozšíření. Intune neověřuje zadané hodnoty. Pokud zadáte nesprávné informace, rozšíření nebude na zařízení fungovat. Identifikátor týmu má délku přesně 10 alfanumerických znaků.

Poznámka

Společnost Apple vydala informace týkající se podepisování a notářského ověření veškerého softwaru. V systému macOS 10.14.5 a novějších nemusí rozšíření jádra nasazená prostřednictvím Intune splňovat zásady notářského ověření společnosti Apple.

Informace o těchto zásadách notářského ověření a všech aktualizacích nebo změnách najdete v následujících zdrojích informací:

• Notarizace aplikace před distribucí (otevře web společnosti Apple)
• Příprava na změny rozšíření jádra v macOS High Sierra (otevře web Společnosti Apple)

Vytvoření zásad rozšíření jádra

Důležité

Tato šablona rozšíření pro macOS je ve verzi služby ze srpna 2024 (2408) zastaralá. Stávající zásady nadále fungují. Pomocí této šablony ale nemůžete vytvářet nové zásady.

Místo toho pomocí katalogu nastavení vytvořte nové zásady, které nakonfigurují datovou část rozšíření systému. Další informace o katalogu nastavení najdete v katalogu nastavení.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte macOS.
   • Typ profilu: Vyberte Rozšíření šablon>.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například kontrola macOS-AV pomocí rozšíření jádra.
   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V části Nastavení konfigurace nakonfigurujte nastavení:

   • macOS

8. Vyberte Další.

9. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití značek RBAC a oborů pro distribuované IT.

   Vyberte Další.

10. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Zdroje

Nezapomeňte profil přiřadit a sledovat jeho stav.