macOS-apparaatinstellingen voor het configureren en gebruiken van kernel- en systeemextensies in Intune

Opmerking

• Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.
• macOS-kernelextensies worden vervangen door systeemextensies. Ga voor meer informatie naar Ondersteuningstip: Systeemextensies gebruiken in plaats van kernelextensies voor macOS Catalina 10.15 in Intune.

In dit artikel worden de verschillende instellingen voor kernel- en systeemextensie beschreven die u kunt beheren op macOS-apparaten. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om extensies op uw apparaten toe te voegen en te beheren.

Deze functie is van toepassing op:

• macOS

Ga naar macOS-extensies toevoegen voor meer informatie over extensies in Intune en eventuele vereisten.

Deze instellingen worden toegevoegd aan een apparaatconfiguratieprofiel in Intune en vervolgens toegewezen of geïmplementeerd op uw macOS-apparaten.

Voordat u begint

• Een apparaatconfiguratieprofiel voor macOS-extensies maken.
• Deze instellingen zijn van toepassing op verschillende inschrijvingstypen. Ga naar macOS-inschrijving voor meer informatie over de verschillende inschrijvingstypen.

Kernelextensies

Deze functie is van toepassing op:

• macOS 10.13.2 en hoger

Wat u moet weten

• Kernelextensies werken niet op macOS-apparaten met de M1-chip. Dit zijn macOS-apparaten met Apple-silicium. Dit gedrag is een bekend probleem, zonder ETA.

• Voor macOS-apparaten met 10.15 en hoger raden we u aan systeemextensies te gebruiken (in dit artikel). Als u de instellingen voor kernelextensies gebruikt, kunt u overwegen macOS-apparaten met M1-chips uit te sluiten van het ontvangen van het kernelextensiesprofiel.

Instellingen zijn van toepassing op: Door de gebruiker goedgekeurde apparaatinschrijving, geautomatiseerde apparaatinschrijving

Opmerking

U hoeft geen team-id's en kernelextensies toe te voegen. U kunt het ene of het andere configureren.

• Gebruikersoverschrijvingen toestaan: Met Ja kunnen gebruikers kernelextensies goedkeuren die niet zijn opgenomen in het configuratieprofiel. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem voorkomen dat gebruikers extensies toestaan die niet zijn opgenomen in het configuratieprofiel. Dit betekent dat alleen extensies in het configuratieprofiel zijn toegestaan.

  Ga voor meer informatie over deze functie naar door de gebruiker goedgekeurde kernelextensie laden (hiermee opent u de website van Apple).

• Toegestane team-id's: gebruik deze instelling om een of meer team-id's toe te staan. Kernelextensies die zijn ondertekend met de team-id's die u invoert, zijn toegestaan en worden vertrouwd. Met andere woorden, gebruik deze optie om alle kernelextensies binnen dezelfde team-id toe te staan, die een specifieke ontwikkelaar of partner kan zijn.

  Voer een team-id in van geldige en ondertekende kernelextensies die u wilt laden. U kunt meerdere team-id's toevoegen. De team-id moet alfanumeriek zijn (letters en cijfers) en 10 tekens bevatten. Voer bijvoorbeeld in ABCDE12345.

  Nadat u een team-id hebt toegevoegd, kan deze ook worden verwijderd.

  Uw team-id zoeken (hiermee opent u de website van Apple) vindt u meer informatie.

  Tip

  De team-id wordt opgeslagen in de lokale KextPolicy-database. U kunt de team-id ophalen met behulp van de sqlite3 opdracht van een macOS-apparaat waarop dezelfde app is geïnstalleerd:

  1. Open op het macOS-apparaat de Terminal-app en voer het volgende script uit:

     sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

     • In ons voorbeeld is de volumenaam Macintosh HD. Werk het script bij met uw volumenaam.
     • Zorg ervoor dat u toegang hebt tot de hoofdmap en dat u een SUDO opdracht op het apparaat kunt uitvoeren.

  2. Controleer de uitvoer. De eerste vermelding is de team-id. In ons voorbeeld is PXPZ95SK77de team-id:

     PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

• Toegestane kernelextensies: gebruik deze instelling om specifieke kernelextensies toe te staan. Alleen de kernelextensies die u invoert, zijn toegestaan of worden vertrouwd.

  Voer de bundel-id en team-id in van een kernelextensie die u wilt laden. Gebruik een lege team-id voor niet-ondertekende verouderde kernelextensies. U kunt meerdere kernelextensies toevoegen. De team-id moet alfanumeriek zijn (letters en cijfers) en 10 tekens bevatten. Voer bijvoorbeeld in com.contoso.appname.macos voor Bundel-id en ABCDE12345voor Team-id.

  Tip

  Als u de bundel-id van een kernelextensie (Kext) op een macOS-apparaat wilt ophalen, kunt u het volgende doen:

  1. Voer in de Terminal-app uit kextstat | grep -v com.appleen noteer de uitvoer. Installeer de gewenste software of Kext. Voer opnieuw uit kextstat | grep -v com.apple en zoek naar wijzigingen.

     In de Terminal-app kextstat worden alle kernelextensies in het besturingssysteem vermeld.

  2. Open op het apparaat het bestand Information Property List (Info.plist) voor een Kext. De bundel-id wordt weergegeven. Elke Kext heeft een Info.plist-bestand dat erin is opgeslagen.

Systeemextensies

Deze functie is van toepassing op:

• macOS 10.15 en hoger

Instellingen zijn van toepassing op: Door de gebruiker goedgekeurde apparaatinschrijving, geautomatiseerde apparaatinschrijving

Opmerking

Als u dezelfde team-id toevoegt voor Toegestane systeemextensies en Toegestane team-id's , kan dit leiden tot een fout en mislukt het profiel. Voeg niet dezelfde exacte team-id toe aan beide instellingen.

• Onderdrukkingen van gebruikers blokkeren: Met Ja voorkomt u dat gebruikers systeemextensies goedkeuren die niet in de lijst met toegestane items voorkomen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers onbekende extensies goedkeuren die niet zijn opgenomen in het configuratieprofiel. Dit betekent dat extensies die niet zijn opgenomen in het configuratieprofiel, zijn toegestaan.

• Toegestane team-id's: gebruik deze instelling om een of meer team-id's toe te staan. Systeemextensies die zijn ondertekend met de team-id's die u invoert, zijn altijd toegestaan en worden vertrouwd. Met andere woorden, gebruik deze optie om alle systeemextensies binnen dezelfde team-id toe te staan, die een specifieke ontwikkelaar of partner kan zijn.

  Voer een team-id in van geldige en ondertekende systeemextensies die u wilt laden. U kunt meerdere team-id's toevoegen. De team-id moet alfanumeriek zijn (letters en cijfers) en 10 tekens bevatten. Voer bijvoorbeeld in ABCDE12345.

  Nadat u een team-id hebt toegevoegd, kan deze ook worden verwijderd.

  Uw team-id zoeken (hiermee opent u de website van Apple) vindt u meer informatie.

  Tip

  U kunt de team-id ook ophalen van een mac waarop de toepassing is geïnstalleerd

  Voer in de Terminal-app het volgende uit:

  systemextensionsctl list

  en let op de uitvoer:

  Bijvoorbeeld. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

  De eerste vermelding is de team-id die u nodig hebt. UBF8T346G9 in ons voorbeeld

• Toegestane systeemextensies: gebruik deze instelling om altijd specifieke systeemextensies toe te staan. Alleen de systeemextensies die u invoert, zijn toegestaan of worden vertrouwd.

  Voer de bundel-id en team-id in van een systeemextensie die u wilt laden. Gebruik een lege team-id voor niet-ondertekende verouderde systeemextensies. U kunt meerdere systeemextensies toevoegen. De team-id moet alfanumeriek zijn (letters en cijfers) en 10 tekens bevatten. Voer bijvoorbeeld in com.contoso.appname.macos voor Bundel-id en ABCDE12345voor Team-id.

• Toegestane typen systeemuitbreidingen: voer de team-id en het type systeemextensie in om die team-id toe te staan:

  • Team-id: voer de team-id in van een andere systeemextensie die u specifieke extensietypen wilt toestaan. Of voer een team-id in die u hebt toegevoegd aan Toegestane systeemextensies.

  • Toegestane typen systeemuitbreidingen: selecteer de typen systeemuitbreidingen die voor elke team-id moeten worden toegestaan. Uw opties:

    • Alles selecteren
    • Stuurprogramma-extensies
    • Netwerkextensies
    • Eindpuntbeveiligingsextensies

    Ga voor meer informatie over deze extensietypen naar Systeemextensies (hiermee opent u de website van Apple).

    U kunt een team-id toevoegen vanuit de lijst Toegestane systeemextensies en een specifiek extensietype toestaan. Als de extensie een type is dat niet is toegestaan, wordt de extensie mogelijk niet uitgevoerd.

    Als u alle extensietypen voor een team-id wilt toestaan, voegt u de Team-id toe aan de lijst Toegestane systeemextensies . Voeg de team-id niet toe aan de lijst Toegestane systeemextensietypen . Met andere woorden, als een team-id in de lijst Toegestane systeemextensies staat en niet in de lijst Toegestane systeemextensietypen , zijn alle extensietypen toegestaan voor die team-id.

Verwante artikelen

Wijs het profiel toe en controleer de status ervan.