Aggiungere le estensioni del sistema e del kernel macOS in Intune

Nei dispositivi macOS è possibile aggiungere estensioni del kernel ed estensioni di sistema. Sia le estensioni del kernel che le estensioni di sistema consentono agli utenti di installare estensioni dell'app che estendono le funzionalità native del sistema operativo. Le estensioni del kernel eseguono il codice a livello di kernel. Le estensioni di sistema vengono eseguite in uno spazio utente strettamente controllato.

Nota

Le estensioni del kernel macOS vengono sostituite con le estensioni di sistema. Per altre informazioni, vedere Suggerimento per il supporto: Uso delle estensioni di sistema anziché delle estensioni del kernel per macOS Catalina 10.15 in Intune.

Per aggiungere estensioni che sono sempre consentite per il caricamento nei dispositivi, usare Microsoft Intune. Intune usa i profili di configurazione per creare e personalizzare queste impostazioni in base alle esigenze dell'organizzazione. Dopo aver aggiunto queste funzionalità in un criterio, è possibile eseguire il push o la distribuzione dei criteri nei dispositivi macOS nell'organizzazione.

Questa funzionalità si applica a:

• macOS

Questo articolo descrive le estensioni di sistema e le estensioni del kernel. Viene inoltre illustrato come creare criteri di configurazione del dispositivo usando le estensioni del kernel in Intune.

Estensioni di sistema

Le estensioni di sistema vengono eseguite nello spazio utente e non accedono al kernel. L'obiettivo è aumentare la sicurezza, fornire un maggiore controllo degli utenti finali e limitare gli attacchi a livello di kernel. Queste estensioni possono essere:

• Estensioni driver, inclusi driver per USB, schede di interfaccia di rete (NIC), controller seriali e dispositivi di interfaccia umana (HID)
• Estensioni di rete, inclusi filtri del contenuto, proxy DNS e client VPN
• Estensioni di sicurezza degli endpoint, tra cui rilevamento degli endpoint, risposta dell'endpoint e antivirus

Le estensioni di sistema sono incluse nel bundle di un'app e installate dall'app. In particolare, scrivi l'estensione di sistema e quindi impacchetta l'estensione nel bundle dell'app. Per altre informazioni, passare alle estensioni di sistema (apre il sito Web di Apple).

Quando l'app con l'estensione di sistema è pronta, è possibile distribuire l'app usando Microsoft Intune. Per altre informazioni, vedere Aggiungere app a Microsoft Intune.

Estensioni del kernel

Nota

Le estensioni del kernel macOS vengono sostituite con le estensioni di sistema. Per altre informazioni, vedere Suggerimento per il supporto: Uso delle estensioni di sistema anziché delle estensioni del kernel per macOS Catalina 10.15 in Intune.

Le estensioni del kernel aggiungono funzionalità a livello di kernel. Queste funzionalità accedono a parti del sistema operativo a cui i programmi normali non possono accedere. Possono essere usati se l'organizzazione ha esigenze o requisiti specifici che non sono disponibili in un'app o in una funzionalità del dispositivo.

Ad esempio, si dispone di un programma di analisi antivirus che analizza il dispositivo alla ricerca di contenuti dannosi. È possibile aggiungere l'estensione del kernel di questo programma di analisi antivirus come estensione del kernel consentita in Intune. Assegnare quindi l'estensione ai dispositivi macOS.

Con questa funzionalità, gli amministratori possono consentire agli utenti di eseguire l'override delle estensioni del kernel, aggiungere identificatori del team e aggiungere estensioni del kernel specifiche in Intune.

Per altre informazioni sulle estensioni del kernel, passare alle estensioni del kernel (apre il sito Web di Apple).

Importante

Le estensioni del kernel non funzionano nei dispositivi macOS con il chip M1, ovvero i dispositivi macOS in esecuzione nel silicio Apple. Questo comportamento è un problema noto, senza ETA. È possibile che le funzionino, ma non è consigliabile. Per altre informazioni, vedere estensioni del kernel in macOS (apre il sito Web di Apple).

Per tutti i dispositivi macOS che eseguono 10.15 e versioni successive, è consigliabile usare le estensioni di sistema (in questo articolo). Se si usano le impostazioni delle estensioni del kernel, è consigliabile escludere i dispositivi macOS con chip M1 dalla ricezione del profilo delle estensioni del kernel.

Prerequisiti

• Questa funzionalità si applica a:

  • macOS 10.13.2 e versioni successive (estensioni del kernel)
  • macOS 10.15 e versioni successive (estensioni di sistema)

  Da macOS 10.15 a 10.15.4, le estensioni del kernel e le estensioni di sistema possono essere eseguite affiancate.

• Per usare questa funzionalità, i dispositivi devono essere:

  • Registrato in Intune usando la registrazione automatica dei dispositivi (ADE), precedentemente denominata Device Enrollment Program (DEP). Per altre informazioni su questa opzione di registrazione, vedere:

    • Registrazione automatica dei dispositivi (ADE) per dispositivi macOS
    • Registrare automaticamente i dispositivi macOS

    O

  • Registrato in Intune usando la registrazione del dispositivo, nota anche come registrazione approvata dall'utente. Questo metodo di registrazione è comune nei dispositivi di proprietà personale. Per altre informazioni su questa opzione di registrazione, vedere:

    • BYOD: Registrazione del dispositivo per dispositivi macOS
    • Preparare le modifiche alle estensioni del kernel in macOS High Sierra (apre il sito Web di Apple)

  Per altre informazioni sulle opzioni di registrazione per i dispositivi macOS, vedere Guida alla registrazione: Registrare i dispositivi macOS in Microsoft Intune.

• Per creare i criteri, accedere almeno all'interfaccia di amministrazione Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager. Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.

Informazioni importanti

• È possibile aggiungere estensioni del kernel legacy non firmate ed estensioni di sistema.
• Assicurarsi di immettere l'identificatore del team e l'ID bundle corretti dell'estensione. Intune non convalida i valori immessi. Se immetti informazioni errate, l'estensione non funzionerà nel dispositivo. Un identificatore del team è lungo esattamente 10 caratteri alfanumerici.

Nota

Apple ha rilasciato informazioni relative alla firma e alla notarizzazione per tutto il software. In macOS 10.14.5 e versioni successive, le estensioni del kernel distribuite tramite Intune non devono soddisfare i criteri di notarizzazione di Apple.

Per informazioni su questo criterio di notarizzazione e su eventuali aggiornamenti o modifiche, passare alle risorse seguenti:

• Notarizzazione dell'app prima della distribuzione (apre il sito Web di Apple)
• Preparare le modifiche alle estensioni del kernel in macOS High Sierra (apre il sito Web di Apple)

Creare i criteri di estensione del kernel

Importante

Questo modello di estensioni macOS è deprecato nella versione del servizio di agosto 2024 (2408). I criteri esistenti continuano a funzionare. Tuttavia, non è possibile creare nuovi criteri usando questo modello.

Usare invece il catalogo delle impostazioni per creare nuovi criteri che configurano il payload dell'estensione di sistema. Per altre informazioni sul catalogo delle impostazioni, passare a Catalogo impostazioni.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.

3. Immettere le proprietà seguenti:

   • Piattaforma: selezionare macOS
   • Tipo di profilo: selezionare Estensioni modelli>.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è l'analisi macOS-AV usando le estensioni del kernel.
   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione configurare le impostazioni:

   • macOS

8. Seleziona Avanti.

9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

   Selezionare Avanti.

10. In Assegnazioni selezionare gli utenti o i gruppi che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Risorse

Assicurarsi di assegnare il profilo e monitorarne lo stato.