Paramètres d’appareil macOS pour configurer et utiliser les extensions de noyau et système dans Intune

  • Article

Remarque

Cet article décrit les différents paramètres de noyau et d’extension système que vous pouvez contrôler sur les appareils macOS. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour ajouter et gérer des extensions sur vos appareils.

Cette fonctionnalité s’applique à :

  • macOS

Pour en savoir plus sur les extensions dans Intune et sur les conditions préalables, accédez à ajouter des extensions macOS.

Ces paramètres sont ajoutés à un profil de configuration d’appareil dans Intune, puis affectés ou déployés sur vos appareils macOS.

Avant de commencer

Extensions de noyau

Cette fonctionnalité s’applique à :

  • macOS 10.13.2 et versions ultérieures

Ce que vous devez savoir

  • Les extensions de noyau ne fonctionnent pas sur les appareils macOS avec la puce M1, qui sont des appareils macOS exécutés sur Apple Silicon. Ce comportement est un problème connu, sans ETA.

  • Pour tous les appareils macOS exécutant 10.15 et versions ultérieures, nous vous recommandons d’utiliser des extensions système (dans cet article). Si vous utilisez les paramètres des extensions de noyau, envisagez d’exclure les appareils macOS avec des puces M1 de recevoir le profil d’extensions de noyau.

Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils

Remarque

Vous n’avez pas besoin d’ajouter des identificateurs d’équipe et des extensions de noyau. Vous pouvez configurer l’un ou l’autre.

  • Autoriser les remplacements d’utilisateurs : Oui permet aux utilisateurs d’approuver les extensions de noyau non incluses dans le profil de configuration. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’autoriser les extensions non incluses dans le profil de configuration. Cela signifie que seules les extensions incluses dans le profil de configuration sont autorisées.

    Pour plus d’informations sur cette fonctionnalité, consultez Chargement de l’extension de noyau approuvée par l’utilisateur (ouvre le site web d’Apple).

  • Identificateurs d’équipe autorisés : utilisez ce paramètre pour autoriser un ou plusieurs ID d’équipe. Toutes les extensions de noyau signées avec les ID d’équipe que vous entrez sont autorisées et approuvées. En d’autres termes, utilisez cette option pour autoriser toutes les extensions de noyau dans le même ID d’équipe, qui peut être un développeur ou un partenaire spécifique.

    Entrez un identificateur d’équipe des extensions de noyau valides et signées à charger. Vous pouvez ajouter plusieurs identificateurs d’équipe. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez ABCDE12345.

    Après avoir ajouté un identificateur d’équipe, il peut également être supprimé.

    Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.

    Conseil

    L’ID d’équipe est stocké dans la base de données KextPolicy locale. Vous pouvez obtenir l’ID d’équipe à l’aide de la sqlite3 commande à partir d’un appareil macOS sur lequel la même application est installée :

    1. Sur l’appareil macOS, ouvrez l’application Terminal et exécutez le script suivant :

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • Dans notre exemple, le nom du volume est Macintosh HD. Mettez à jour le script avec le nom de votre volume.
      • Vérifiez que vous disposez d’un accès racine et que vous pouvez exécuter une SUDO commande sur l’appareil.

    2. Passez en revue la sortie. La première entrée est l’ID d’équipe. Dans notre exemple, l’ID d’équipe est PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Extensions de noyau autorisées : utilisez ce paramètre pour autoriser des extensions de noyau spécifiques. Seules les extensions de noyau que vous entrez sont autorisées ou approuvées.

    Entrez l’identificateur de bundle et l’identificateur d’équipe d’une extension de noyau à charger. Pour les extensions de noyau hérité non signées, utilisez un identificateur d’équipe vide. Vous pouvez ajouter plusieurs extensions de noyau. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez com.contoso.appname.macos pour ID de bundle et ABCDE12345 pour Identificateur d’équipe.

    Conseil

    Pour obtenir l’ID de bundle d’une extension de noyau (Kext) sur un appareil macOS, vous pouvez :

    1. Dans l’application Terminal, exécutez kextstat | grep -v com.apple, puis notez la sortie. Installez le logiciel ou Kext souhaité. Réexécutez kextstat | grep -v com.apple et recherchez les modifications.

      Dans l’application Terminal, kextstat répertorie toutes les extensions de noyau sur le système d’exploitation.

    2. Sur l’appareil, ouvrez le fichier Information Property List (Info.plist) pour un Kext. L’ID du bundle s’affiche. Chaque Kext a un fichier Info.plist stocké à l’intérieur.

Extensions système

Cette fonctionnalité s’applique à :

  • macOS 10.15 et ultérieur

Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils

Remarque

L’ajout du même ID d’équipe pour extensions système autorisées et identificateurs d’équipe autorisés peut entraîner une erreur et l’échec du profil. N’ajoutez pas le même identificateur d’équipe exact aux deux paramètres.

  • Bloquer les remplacements d’utilisateurs : Oui empêche les utilisateurs d’approuver les extensions système qui ne figurent pas dans la liste autorisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’approuver des extensions inconnues non incluses dans le profil de configuration. Cela signifie que les extensions non incluses dans le profil de configuration sont autorisées.

  • Identificateurs d’équipe autorisés : utilisez ce paramètre pour autoriser un ou plusieurs ID d’équipe. Toutes les extensions système signées avec les ID d’équipe que vous entrez sont toujours autorisées et approuvées. En d’autres termes, utilisez cette option pour autoriser toutes les extensions système dans le même ID d’équipe, qui peut être un développeur ou un partenaire spécifique.

    Entrez un identificateur d’équipe des extensions système valides et signées à charger. Vous pouvez ajouter plusieurs identificateurs d’équipe. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez ABCDE12345.

    Après avoir ajouté un identificateur d’équipe, il peut également être supprimé.

    Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.

    Conseil

    Vous pouvez également obtenir l’ID d’équipe à partir d’un mac où l’application est installée.

    Dans l’application Terminal, exécutez :

    systemextensionsctl list

    et notez la sortie :

    P. ex. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    La première entrée est l’ID d’équipe dont vous avez besoin. UBF8T346G9 dans notre exemple

  • Extensions système autorisées : utilisez ce paramètre pour toujours autoriser des extensions système spécifiques. Seules les extensions système que vous entrez sont autorisées ou approuvées.

    Entrez l’identificateur d’offre groupée et l’identificateur d’équipe d’une extension système à charger. Pour les extensions système héritées non signées, utilisez un identificateur d’équipe vide. Vous pouvez ajouter plusieurs extensions système. L’identificateur d’équipe doit être alphanumérique (lettres et chiffres) et comporter 10 caractères. Par exemple, entrez com.contoso.appname.macos pour ID de bundle et ABCDE12345 pour Identificateur d’équipe.

  • Types d’extension système autorisés : entrez l’ID d’équipe et les types d’extension système pour autoriser cet ID d’équipe :

    • Identificateur d’équipe : entrez l’ID d’équipe d’une autre extension système que vous souhaitez autoriser des types d’extension spécifiques. Vous pouvez également entrer un ID d’équipe que vous avez ajouté à Extensions système autorisées.

    • Types d’extension système autorisés : sélectionnez les types d’extension système à autoriser pour chaque ID d’équipe. Les options disponibles sont les suivantes :

      • Sélectionner tout
      • Extensions de pilote
      • Extensions réseau
      • Extensions de sécurité de point de terminaison

      Pour plus d’informations sur ces types d’extension, accédez à Extensions système (ouvre le site web d’Apple).

      Vous pouvez ajouter un ID d’équipe à partir de la liste Extensions système autorisées et autoriser un type d’extension spécifique. Si l’extension est un type qui n’est pas autorisé, l’extension risque de ne pas s’exécuter.

      Pour autoriser tous les types d’extension pour un ID d’équipe, ajoutez l’ID d’équipe à la liste Extensions système autorisées . N’ajoutez pas l’ID d’équipe à la liste Types d’extension système autorisés . En d’autres termes, si un ID d’équipe figure dans la liste Extensions système autorisées et non dans la liste Types d’extension système autorisés , tous les types d’extension sont autorisés pour cet ID d’équipe.

Attribuer le profil et suivre son état.