次の方法で共有

Intuneに macOS システム拡張機能とカーネル拡張機能を追加する

  • [アーティクル]

macOS デバイスでは、カーネル拡張機能とシステム拡張機能を追加できます。 カーネル拡張機能とシステム拡張機能の両方を使用すると、ユーザーはオペレーティング システムのネイティブ機能を拡張するアプリ拡張機能をインストールできます。 カーネル拡張機能は、カーネル レベルでコードを実行します。 システム拡張機能は、厳密に制御されたユーザー空間で実行されます。

注:

macOS カーネル拡張機能は、システム拡張機能に置き換えられます。 詳細については、「サポート ヒント: macOS Catalina 10.15 のカーネル拡張機能ではなくシステム拡張機能を使用する」をIntuneで参照してください

デバイスへの読み込みが常に許可されている拡張機能を追加するには、Microsoft Intuneを使用します。 Intune では、"構成プロファイル" を使用して、お客様の組織のニーズに合わせてこのような設定を作成およびカスタマイズします。 これらの機能をポリシーに追加した後、organizationの macOS デバイスにポリシーをプッシュまたは展開します。

この機能は、以下に適用されます:

  • macOS

この記事では、システム拡張機能とカーネル拡張機能について説明します。 また、Intuneでカーネル拡張機能を使用してデバイス構成ポリシーを作成する方法についても説明します。

システム拡張機能

システム拡張機能はユーザー空間で実行され、カーネルにアクセスしません。 その目標は、セキュリティを強化し、より多くのエンド ユーザー制御を提供し、カーネル レベルの攻撃を制限することです。 これらの拡張機能は次のとおりです。

  • USB、ネットワーク インターフェイス カード (NIC)、シリアル コントローラー、およびヒューマン インターフェイス デバイス (HID) へのドライバーを含むドライバー拡張機能
  • コンテンツ フィルター、DNS プロキシ、VPN クライアントなどのネットワーク拡張機能
  • エンドポイントの検出、エンドポイントの応答、ウイルス対策など、エンドポイント セキュリティ拡張機能

システム拡張機能はアプリのバンドルに含まれ、アプリからインストールされます。 具体的には、システム拡張機能を記述し、その拡張機能をアプリ バンドルにパッケージ化します。 詳細については、「 システム拡張機能 (Apple の Web サイトを開く)」を参照してください。

システム拡張機能を持つアプリの準備ができたら、Microsoft Intuneを使用してアプリをデプロイできます。 詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください

カーネル拡張機能

注:

macOS カーネル拡張機能は、システム拡張機能に置き換えられます。 詳細については、「サポート ヒント: macOS Catalina 10.15 のカーネル拡張機能ではなくシステム拡張機能を使用する」をIntuneで参照してください

カーネル拡張機能は、カーネル レベルで機能を追加します。 これらの機能は、通常のプログラムがアクセスできない OS の一部にアクセスします。 アプリやデバイス機能で使用できない特定のニーズや要件がある場合は、organizationを使用できます。

たとえば、デバイスで悪意のあるコンテンツをスキャンするウイルス スキャン プログラムがあります。 このウイルススキャンプログラムのカーネル拡張機能を、許可されたカーネル拡張機能としてIntuneに追加できます。 次に、macOS デバイスに拡張機能を割り当てます。

この機能を使用すると、管理者は、ユーザーがカーネル拡張機能をオーバーライドしたり、チーム識別子を追加したり、特定のカーネル拡張機能をIntuneに追加したりできます。

カーネル拡張機能の詳細については、 カーネル拡張機能 に関するページを参照してください (Apple の Web サイトが開きます)。

重要

カーネル拡張機能は、m1 チップを搭載した macOS デバイスでは機能しません。これは、Apple シリコンで実行されている macOS デバイスです。 この動作は既知の問題であり、ETA はありません。 それらを動作させることができますが、推奨されません。 詳細については、「 macOS のカーネル拡張機能 (Apple の Web サイトを開く)」を参照してください。

10.15 以降を実行している macOS デバイスの場合は、 システム拡張機能 (この記事で) を使用することをお勧めします。 カーネル拡張機能の設定を使用する場合は、M1 チップを搭載した macOS デバイスがカーネル拡張機能プロファイルを受信しないようにすることを検討してください。

前提条件

知っておく必要があること

  • 署名されていないレガシ カーネル拡張機能とシステム拡張機能を追加できます。
  • 拡張機能の正しいチーム識別子とバンドル ID を必ず入力してください。 Intuneでは、入力した値は検証されません。 間違った情報を入力した場合、拡張機能はデバイスでは機能しません。 チーム識別子は、正確に 10 文字の英数字です。

注:

Apple は、すべてのソフトウェアの署名と公証に関する情報をリリースしました。 macOS 10.14.5 以降では、Intuneを介してデプロイされたカーネル拡張機能は、Apple の公証ポリシーを満たす必要はありません。

この公証ポリシーと更新プログラムまたは変更については、次のリソースを参照してください。

カーネル拡張機能ポリシーを作成する

重要

この macOS 拡張機能テンプレートは、2024 年 8 月のサービス リリース (2408) で非推奨になっています。 既存のポリシーは引き続き機能します。 ただし、このテンプレートを使用して新しいポリシーを作成することはできません。

代わりに、設定カタログを使用して、システム拡張機能ペイロードを構成する新しいポリシーを作成します。 設定カタログの詳細については、「設定カタログ」を参照 してください

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

  3. 次のプロパティを入力します。

    • プラットフォーム: macOS を選択する
    • プロファイルの種類: [テンプレート>Extensions] を選択します。

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は、 カーネル拡張機能を使用した macOS-AV スキャンです
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [ 構成設定] で、設定を構成します。

  8. [次へ] を選択します。

  9. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

    [次へ] を選択します。

  10. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

  11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

リソース

必ずプロファイルを割り当てその状態を監視してください。