Intune 커널 및 시스템 확장을 구성하고 사용하는 macOS 디바이스 설정

참고

• Intune 이 문서에 나열된 설정보다 더 많은 설정을 지원할 수 있습니다. 모든 설정이 문서화되지 않으며 문서화되지 않습니다. 구성할 수 있는 설정을 보려면 디바이스 구성 정책을 만들고 설정 카탈로그를 선택합니다. 자세한 내용은 설정 카탈로그를 참조하세요.
• macOS 커널 확장이 시스템 확장으로 대체되고 있습니다. 자세한 내용은 지원 팁: Intune macOS Catalina 10.15용 커널 확장 대신 시스템 확장 사용을 참조하세요.

이 문서에서는 macOS 디바이스에서 제어할 수 있는 다양한 커널 및 시스템 확장 설정에 대해 설명합니다. MDM(모바일 디바이스 관리) 솔루션의 일부로 이러한 설정을 사용하여 디바이스에서 확장을 추가하고 관리합니다.

이 기능은 다음에 적용됩니다.

• macOS

Intune 확장 및 필수 구성 요소에 대해 자세히 알아보려면 macOS 확장 추가를 참조하세요.

이러한 설정은 Intune 디바이스 구성 프로필에 추가된 다음 macOS 디바이스에 할당되거나 배포됩니다.

시작하기 전에

• macOS 확장 디바이스 구성 프로필을 만듭니다.
• 이러한 설정은 다양한 등록 유형에 적용됩니다. 다양한 등록 유형에 대한 자세한 내용은 macOS 등록을 참조하세요.

커널 확장

이 기능은 다음에 적용됩니다.

• macOS 10.13.2 이상

기억해야 하는 사항

• 커널 확장은 Apple 실리콘에서 실행되는 macOS 디바이스인 M1 칩이 있는 macOS 디바이스에서 작동하지 않습니다. 이 동작은 ETA 없이 알려진 문제입니다.

• 10.15 이상을 실행하는 macOS 디바이스의 경우 시스템 확장을 사용하는 것이 좋습니다(이 문서). 커널 확장 설정을 사용하는 경우 M1 칩이 있는 macOS 디바이스를 커널 확장 프로필 수신에서 제외하는 것이 좋습니다.

설정 적용: 사용자가 승인한 디바이스 등록, 자동화된 디바이스 등록

참고

팀 식별자와 커널 확장을 추가할 필요가 없습니다. 하나 또는 다른 하나를 구성할 수 있습니다.

• 사용자 재정의 허용: 예를 사용하면 사용자가 구성 프로필에 포함되지 않은 커널 확장을 승인할 수 있습니다. 구성되지 않음(기본값)으로 설정하면 Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 사용자가 구성 프로필에 포함되지 않은 확장을 허용하지 않을 수 있습니다. 즉, 구성 프로필에 포함된 확장만 허용됩니다.

  이 기능에 대한 자세한 내용은 사용자가 승인한 커널 확장 로드 (Apple 웹 사이트 열기)로 이동하세요.

• 허용된 팀 식별자: 이 설정을 사용하여 하나 이상의 팀 ID를 허용합니다. 입력한 팀 ID로 서명된 커널 확장은 허용되고 신뢰할 수 있습니다. 즉, 이 옵션을 사용하여 특정 개발자 또는 파트너가 될 수 있는 동일한 팀 ID 내의 모든 커널 확장을 허용합니다.

  로드할 유효하고 서명된 커널 확장의 팀 식별자를 입력합니다. 여러 팀 식별자를 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 ABCDE12345을(를) 입력합니다.

  팀 식별자를 추가한 후 삭제할 수도 있습니다.

  팀 ID 찾기 (Apple 웹 사이트 열기)에 자세한 정보가 있습니다.

  팁

  팀 ID는 로컬 KextPolicy 데이터베이스에 저장됩니다. 동일한 앱이 설치된 macOS 디바이스에서 명령을 사용하여 sqlite3 팀 ID를 가져올 수 있습니다.

  1. macOS 디바이스에서 터미널 앱을 열고 다음 스크립트를 실행합니다.

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • 이 예제에서 볼륨 이름은 Macintosh HD입니다. 볼륨 이름으로 스크립트를 업데이트합니다.
     • 루트 액세스 권한이 있고 디바이스에서 SUDO 명령을 실행할 수 있는지 확인합니다.

  2. 출력을 검토합니다. 첫 번째 항목은 팀 ID입니다. 이 예제에서 팀 ID는 입니다 PXPZ95SK77.

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• 허용되는 커널 확장: 이 설정을 사용하여 특정 커널 확장을 허용합니다. 입력한 커널 확장만 허용되거나 신뢰할 수 있습니다.

  로드할 커널 확장의 번들 식별자 및 팀 식별자를 입력합니다. 서명되지 않은 레거시 커널 확장의 경우 빈 팀 식별자를 사용합니다. 여러 커널 확장을 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 번들 ID에 를 입력하고 ABCDE12345팀 식별자에 를 입력 com.contoso.appname.macos 합니다.

  팁

  macOS 디바이스에서 커널 확장(Kext)의 번들 ID를 가져오려면 다음을 수행할 수 있습니다.

  1. 터미널 앱에서 를 실행하고 kextstat | grep -v com.apple출력을 확인합니다. 원하는 소프트웨어 또는 Kext를 설치합니다. 를 다시 실행하고 kextstat | grep -v com.apple 변경 내용을 찾습니다.

     터미널 앱 kextstat 에서 OS의 모든 커널 확장을 나열합니다.

  2. 디바이스에서 Kext에 대한 정보 속성 목록 파일(Info.plist)을 엽니다. 번들 ID가 표시됩니다. 각 Kext에는 Info.plist 파일이 내부에 저장됩니다.

시스템 확장

이 기능은 다음에 적용됩니다.

• macOS 10.15 이상

설정 적용: 사용자가 승인한 디바이스 등록, 자동화된 디바이스 등록

참고

허용된 시스템 확장 및 허용된 팀 식별자에 대해 동일한 팀 ID를 추가하면 오류가 발생하여 프로필이 실패할 수 있습니다. 두 설정에 동일한 정확한 팀 식별자를 추가하지 마세요.

• 사용자 재정의 차단: 예 는 사용자가 허용 목록에 없는 시스템 확장을 승인하지 못하도록 합니다. 구성되지 않음(기본값)으로 설정하면 Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 사용자가 구성 프로필에 포함되지 않은 알 수 없는 확장을 승인하도록 허용할 수 있습니다. 즉, 구성 프로필에 포함되지 않은 확장이 허용됩니다.

• 허용된 팀 식별자: 이 설정을 사용하여 하나 이상의 팀 ID를 허용합니다. 입력한 팀 ID로 서명된 모든 시스템 확장은 항상 허용되고 신뢰할 수 있습니다. 즉, 이 옵션을 사용하여 특정 개발자 또는 파트너가 될 수 있는 동일한 팀 ID 내의 모든 시스템 확장을 허용합니다.

  로드할 유효하고 서명된 시스템 확장의 팀 식별자를 입력합니다. 여러 팀 식별자를 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 ABCDE12345을(를) 입력합니다.

  팀 식별자를 추가한 후 삭제할 수도 있습니다.

  팀 ID 찾기 (Apple 웹 사이트 열기)에 자세한 정보가 있습니다.

  팁

  애플리케이션이 설치된 mac에서 팀 ID를 가져올 수도 있습니다.

  터미널 앱에서 다음을 실행합니다.

  systemextensionsctl list

  출력을 확인합니다.

  예. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  첫 번째 항목은 필요한 팀 ID입니다. UBF8T346G9 예제에서

• 허용되는 시스템 확장: 이 설정을 사용하여 항상 특정 시스템 확장을 허용합니다. 입력한 시스템 확장만 허용되거나 신뢰할 수 있습니다.

  로드할 시스템 확장의 번들 식별자 및 팀 식별자를 입력합니다. 서명되지 않은 레거시 시스템 확장의 경우 빈 팀 식별자를 사용합니다. 여러 시스템 확장을 추가할 수 있습니다. 팀 식별자는 영숫자(문자 및 숫자)여야 하며 10자여야 합니다. 예를 들어 번들 ID에 를 입력하고 ABCDE12345팀 식별자에 를 입력 com.contoso.appname.macos 합니다.

• 허용되는 시스템 확장 유형: 팀 ID 및 시스템 확장 유형을 입력하여 해당 팀 ID를 허용합니다.

  • 팀 식별자: 특정 확장 유형을 허용하려는 다른 시스템 확장의 팀 ID를 입력합니다. 또는 허용된 시스템 확장에 추가한 팀 ID를 입력합니다.

  • 허용되는 시스템 확장 유형: 각 팀 ID에 대해 허용할 시스템 확장 유형을 선택합니다. 옵션은 다음과 같습니다.

    • 모두 선택
    • 드라이버 확장
    • 네트워크 확장
    • 엔드포인트 보안 확장

    이러한 확장 유형에 대한 자세한 내용은 시스템 확장 (Apple 웹 사이트 열기)을 참조하세요.

    허용된 시스템 확장 목록에서 팀 ID를 추가하고 특정 확장 유형을 허용할 수 있습니다. 확장이 허용되지 않는 형식인 경우 확장이 실행되지 않을 수 있습니다.

    팀 ID에 대한 모든 확장 유형을 허용하려면 허용된 시스템 확장 목록에 팀 ID를 추가합니다. 허용된 시스템 확장 유형 목록에 팀 ID를 추가하지 마세요. 즉, 허용된 시스템 확장 유형 목록이 아닌 허용된 시스템 확장 목록에 팀 ID가 있는 경우 해당 팀 ID에 대해 모든 확장 유형이 허용됩니다.

관련 문서

프로필을 할당하고, 해당 상태를 모니터링합니다.