Adicionar extensões de sistema macOS e kernel no Intune

Em dispositivos macOS, você pode adicionar extensões de kernel e extensões de sistema. As extensões de kernel e as extensões do sistema permitem que os usuários instalem extensões de aplicativo que estendem as funcionalidades nativas do sistema operacional. As extensões do Kernel executam o código no nível do kernel. As extensões do sistema são executadas em um espaço de usuário fortemente controlado.

Observação

As extensões de kernel do macOS estão sendo substituídas por extensões do sistema. Para obter mais informações, acesse Dica de suporte: usando extensões de sistema em vez de extensões de kernel para macOS Catalina 10.15 no Intune.

Para adicionar extensões que sempre podem ser carregadas em seus dispositivos, use Microsoft Intune. O Intune usa perfis de configuração para criar e personalizar essas configurações de acordo com as necessidades da sua organização. Depois de adicionar esses recursos em uma política, você enviará push ou implantará a política em dispositivos macOS em sua organização.

Esse recurso aplica-se a:

• macOS

Este artigo descreve extensões de sistema e extensões de kernel. Ele também mostra como criar uma política de configuração de dispositivo usando extensões de kernel no Intune.

Extensões do sistema

As extensões do sistema são executadas no espaço do usuário e não acessam o kernel. Seu objetivo é aumentar a segurança, fornecer mais controle de usuário final e limitar ataques no nível do kernel. Essas extensões podem ser:

• Extensões de driver, incluindo drivers para USB, cartões de interface de rede (NIC), controladores serial e dispositivos de interface humana (HID)
• Extensões de rede, incluindo filtros de conteúdo, proxies DNS e clientes VPN
• Extensões de segurança do ponto de extremidade, incluindo detecção de ponto de extremidade, resposta de ponto de extremidade e antivírus

As extensões do sistema são incluídas no pacote de um aplicativo e instaladas no aplicativo. Especificamente, você grava a extensão do sistema e empacota a extensão no pacote de aplicativos. Para obter mais informações, acesse extensões de sistema (abre o site da Apple).

Quando o aplicativo com a extensão do sistema estiver pronto, você poderá implantar o aplicativo usando Microsoft Intune. Para obter mais informações, acesse Adicionar aplicativos a Microsoft Intune.

Extensões do Kernel

Observação

As extensões de kernel do macOS estão sendo substituídas por extensões do sistema. Para obter mais informações, acesse Dica de suporte: usando extensões de sistema em vez de extensões de kernel para macOS Catalina 10.15 no Intune.

As extensões do kernel adicionam recursos no nível do kernel. Esses recursos acessam partes do sistema operacional que programas regulares não podem acessar. Eles podem ser usados se sua organização tiver necessidades ou requisitos específicos que não estejam disponíveis em um aplicativo ou um recurso de dispositivo.

Por exemplo, você tem um programa de verificação de vírus que verifica seu dispositivo em busca de conteúdo mal-intencionado. Você pode adicionar a extensão do kernel desse programa de verificação de vírus como uma extensão de kernel permitida no Intune. Em seguida, atribua a extensão aos seus dispositivos macOS.

Com esse recurso, os administradores podem permitir que os usuários substituam extensões de kernel, adicionem identificadores de equipe e adicionem extensões de kernel específicas no Intune.

Para obter mais informações sobre extensões de kernel, acesse extensões de kernel (abre o site da Apple).

Importante

As extensões do kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS em execução no silício da Apple. Esse comportamento é um problema conhecido, sem ETA. É possível que você possa fazê-los trabalhar, mas não é recomendado. Para obter mais informações, acesse extensões do Kernel no macOS (abre o site da Apple).

Para todos os dispositivos macOS que executam 10.15 e mais recentes, recomendamos usar extensões de sistema (neste artigo). Se você usar as configurações de extensões do kernel, considere excluir dispositivos macOS com chips M1 de receber o perfil de extensões do kernel.

Pré-requisitos

• Esse recurso aplica-se a:

  • macOS 10.13.2 e mais recente (extensões de kernel)
  • macOS 10.15 e mais recente (extensões do sistema)

  Do macOS 10.15 a 10.15.4, extensões de kernel e extensões do sistema podem ser executadas lado a lado.

• Para usar esse recurso, os dispositivos devem ser:

  • Registrado no Intune usando o Registro automatizado de dispositivos (ADE), anteriormente chamado de Programa de Registro de Dispositivo (DEP). Para obter mais informações sobre essa opção de registro, acesse:

    • ADE (Registro automatizado de dispositivos) para dispositivos macOS
    • Registrar automaticamente dispositivos macOS

    OU

  • Registrado no Intune usando o registro de dispositivo, também conhecido como registro aprovado pelo usuário. Esse método de registro é comum em dispositivos de propriedade pessoal. Para obter mais informações sobre essa opção de registro, acesse:

    • BYOD: Registro de dispositivo para dispositivos macOS
    • Prepare-se para alterações nas extensões de kernel no macOS High Sierra (abre o site da Apple)

  Para obter mais informações sobre as opções de registro para dispositivos macOS, acesse Guia de registro: Registrar dispositivos macOS em Microsoft Intune.

• Para criar a política, no mínimo, entre no centro de administração Microsoft Intune com uma conta que tenha a função interna Policy and Profile Manager. Para obter mais informações sobre as funções internas, acesse Controle de acesso baseado em função para Microsoft Intune.

O que você precisa saber

• Extensões de kernel herdadas não assinadas e extensões de sistema podem ser adicionadas.
• Insira o identificador de equipe correto e a ID do pacote da extensão. O Intune não valida os valores inseridos. Se você inserir informações erradas, a extensão não funcionará no dispositivo. Um identificador de equipe tem exatamente 10 caracteres alfanuméricos de comprimento.

Observação

A Apple divulgou informações sobre assinatura e autenticação em cartório para todos os softwares. No macOS 10.14.5 e mais recente, as extensões de kernel implantadas pelo Intune não precisam atender à política de autenticação da Apple.

Para obter informações sobre esta política de autenticação e quaisquer atualizações ou alterações, acesse os seguintes recursos:

• Notifique seu aplicativo antes da distribuição (abre o site da Apple)
• Prepare-se para alterações nas extensões de kernel no macOS High Sierra (abre o site da Apple)

Criar a política de extensão do kernel

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Criarconfiguração>de dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: selecione macOS
   • Tipo de perfil: selecioneExtensões>de modelos.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a verificação macOS-AV usando extensões de kernel.
   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Nas configurações, configure suas configurações:

   • macOS

8. Selecione Avançar.

9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre marcas de escopo, acesse Usar RBAC e marcas de escopo para TI distribuída.

   Selecione Avançar.

10. Em Atribuições, selecione os usuários ou grupos que receberão o perfil. Para obter mais informações sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Recursos

Atribua o perfil e monitore seu status.