Nastavení zařízení s macOS pro konfiguraci a používání rozšíření jádra a systému v Intune

  • Článek

Poznámka

Tento článek popisuje různá nastavení rozšíření jádra a systému, která můžete ovládat na zařízeních s macOS. V rámci řešení správy mobilních zařízení (MDM) použijte tato nastavení k přidávání a správě rozšíření na svých zařízeních.

Tato funkce platí pro:

  • macOS

Další informace o rozšířeních v Intune a všech požadavcích najdete v tématu Přidání rozšíření pro macOS.

Tato nastavení se přidají do konfiguračního profilu zařízení v Intune a pak se přiřadí nebo nasadí na vaše zařízení s macOS.

Než začnete

Rozšíření jádra

Tato funkce platí pro:

  • macOS 10.13.2 a novější

Co potřebujete vědět

  • Rozšíření jádra nefungují na zařízeních s macOS s čipem M1, což jsou zařízení s macOS běžící na procesoru Apple Silicon. Toto chování je známý problém bez ETA.

  • Pro všechna zařízení s macOS se systémem 10.15 a novějšími doporučujeme používat systémová rozšíření (v tomto článku). Pokud použijete nastavení rozšíření jádra, zvažte vyloučení zařízení s macOS s čipy M1 z příjmu profilu rozšíření jádra.

Nastavení platí pro: Registrace zařízení schválená uživatelem, Automatizovaná registrace zařízení

Poznámka

Nemusíte přidávat identifikátory týmu a rozšíření jádra. Můžete nakonfigurovat jednu nebo druhou.

  • Povolit přepsání uživatelů: Ano umožňuje uživatelům schvalovat rozšíření jádra, která nejsou součástí konfiguračního profilu. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům bránit v povolení rozšíření, která nejsou součástí konfiguračního profilu. To znamená, že jsou povolená jenom rozšíření zahrnutá v konfiguračním profilu.

    Další informace o této funkci najdete v tématu Načítání rozšíření jádra schváleného uživatelem (otevře web společnosti Apple).

  • Povolené identifikátory týmu: Toto nastavení použijte, pokud chcete povolit jedno nebo více ID týmu. Všechna rozšíření jádra podepsaná pomocí zadaných ID týmu jsou povolená a důvěryhodná. Jinými slovy, pomocí této možnosti povolíte všechna rozšíření jádra v rámci stejného ID týmu, kterým může být konkrétní vývojář nebo partner.

    Zadejte identifikátor týmu platných a podepsaných rozšíření jádra, která se mají načíst. Můžete přidat více identifikátorů týmu. Identifikátor týmu musí být alfanumerický (písmena a číslice) a musí mít 10 znaků. Zadejte ABCDE12345například .

    Jakmile přidáte identifikátor týmu, můžete ho také odstranit.

    Vyhledejte id vašeho týmu (otevře web společnosti Apple) s dalšími informacemi.

    Tip

    ID týmu je uložené v místní databázi KextPolicy. ID týmu můžete získat pomocí sqlite3 příkazu ze zařízení s macOS, na které je nainstalovaná stejná aplikace:

    1. Na zařízení s macOS otevřete aplikaci Terminál a spusťte následující skript:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • V našem příkladu je název svazku Macintosh HD. Aktualizujte skript názvem vašeho svazku.
      • Ujistěte se, že máte přístup uživatele root a můžete na zařízení spustit SUDO příkaz.

    2. Zkontrolujte výstup. První položka je ID týmu. V našem příkladu je PXPZ95SK77ID týmu :

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Povolená rozšíření jádra: Toto nastavení použijte, pokud chcete povolit konkrétní rozšíření jádra. Povolená nebo důvěryhodná jsou jenom vámi zadaná rozšíření jádra.

    Zadejte identifikátor sady a identifikátor týmu rozšíření jádra, které se má načíst. Pro nepodepsaná starší rozšíření jádra použijte prázdný identifikátor týmu. Můžete přidat více rozšíření jádra. Identifikátor týmu musí být alfanumerický (písmena a číslice) a musí mít 10 znaků. Zadejte například com.contoso.appname.macosid sady aABCDE12345 jako Identifikátor týmu.

    Tip

    Pokud chcete získat ID sady rozšíření jádra (Kext) na zařízení s macOS, můžete:

    1. V aplikaci Terminál spusťte a kextstat | grep -v com.applepoznamenejte si výstup. Nainstalujte požadovaný software nebo Kext. Spusťte kextstat | grep -v com.apple znovu a vyhledejte změny.

      V aplikaci Terminál se kextstat zobrazí seznam všech rozšíření jádra v operačním systému.

    2. Na zařízení otevřete soubor Information Property List (Info.plist) pro Kext. Zobrazí se ID sady. Každý Kext má uložený soubor Info.plist.

Systémová rozšíření

Tato funkce platí pro:

  • macOS 10.15 a novější

Nastavení platí pro: Registrace zařízení schválená uživatelem, Automatizovaná registrace zařízení

Poznámka

Přidání stejného ID týmu pro povolená rozšíření systému a povolené identifikátory týmu může způsobit chybu a profil selhává. Nepřidávejte do obou nastavení stejný přesný identifikátor týmu.

  • Blokovat přepsání uživatelů: Ano zabraňuje uživatelům ve schvalování systémových rozšíření, která nejsou v seznamu povolených. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům povolit schválení neznámých rozšíření, která nejsou součástí konfiguračního profilu. To znamená, že rozšíření, která nejsou součástí konfiguračního profilu, jsou povolená.

  • Povolené identifikátory týmu: Pomocí tohoto nastavení povolíte jedno nebo více ID týmu. Všechna systémová rozšíření podepsaná pomocí zadaných ID týmu jsou vždy povolená a důvěryhodná. Jinými slovy, pomocí této možnosti povolíte všechna rozšíření systému v rámci stejného ID týmu, kterým může být konkrétní vývojář nebo partner.

    Zadejte identifikátor týmu platných a podepsaných systémových rozšíření, která se mají načíst. Můžete přidat více identifikátorů týmu. Identifikátor týmu musí být alfanumerický (písmena a číslice) a musí mít 10 znaků. Zadejte ABCDE12345například .

    Jakmile přidáte identifikátor týmu, můžete ho také odstranit.

    Vyhledejte id vašeho týmu (otevře web společnosti Apple) s dalšími informacemi.

    Tip

    ID týmu můžete získat také z počítače Mac, na kterém je aplikace nainstalovaná.

    V aplikaci Terminál spusťte:

    systemextensionsctl list

    a všimněte si výstupu:

    Např. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    První položka je ID týmu, které potřebujete. UBF8T346G9 v našem příkladu

  • Povolená systémová rozšíření: Toto nastavení použijte, pokud chcete vždy povolit konkrétní systémová rozšíření. Povolená nebo důvěryhodná jsou jenom systémová rozšíření, která zadáte.

    Zadejte identifikátor sady a identifikátor týmu systémového rozšíření, které se má načíst. U nepodepsaných starších systémových rozšíření použijte prázdný identifikátor týmu. Můžete přidat více systémových rozšíření. Identifikátor týmu musí být alfanumerický (písmena a číslice) a musí mít 10 znaků. Zadejte například com.contoso.appname.macosid sady aABCDE12345 jako Identifikátor týmu.

  • Povolené typy systémových rozšíření: Zadejte ID týmu a typy rozšíření systému, které toto ID týmu povolí:

    • Identifikátor týmu: Zadejte ID týmu jiného systémového rozšíření, které chcete povolit konkrétní typy rozšíření. Nebo zadejte ID týmu, které jste přidali do pole Povolená rozšíření systému.

    • Povolené typy systémových rozšíření: Vyberte typy systémových rozšíření, které chcete povolit pro každé ID týmu. Možnosti:

      • Vybrat vše
      • Rozšíření ovladačů
      • Síťová rozšíření
      • Rozšíření zabezpečení koncových bodů

      Další informace o těchto typech rozšíření najdete v části Systémová rozšíření (otevře web společnosti Apple).

      Můžete přidat ID týmu ze seznamu Povolená rozšíření systému a povolit konkrétní typ rozšíření. Pokud je rozšíření typu, který není povolený, nemusí se spustit.

      Pokud chcete povolit všechny typy rozšíření pro ID týmu, přidejte ID týmu do seznamu Povolená systémová rozšíření . Nepřidávejte ID týmu do seznamu Povolené typy systémových rozšíření . Jinými slovy, pokud je ID týmu v seznamu Povolené rozšíření systému a není v seznamu Povolené typy rozšíření systému , jsou pro toto ID týmu povolené všechny typy rozšíření.

Přiřaďte profil a sledujte jeho stav.