Adicione sistema macOS e extensões de kernel no Intune

Nota

as extensões de kernel macOS estão a ser substituídas por extensões do sistema. Para obter mais informações, consulte a Dica de Suporte: Utilizar extensões do sistema em vez de extensões de kernel para o macOS Catalina 10.15 em Intune.

Nos dispositivos macOS, pode adicionar extensões de kernel e extensões do sistema. Tanto as extensões de kernel como as extensões do sistema permitem aos utilizadores instalar extensões de apps que alargam as capacidades nativas do sistema operativo. As extensões kernel executam o seu código ao nível do núcleo. As extensões do sistema funcionam num espaço de utilização bem controlado.

Para adicionar extensões que são sempre permitidas a carregar nos seus dispositivos, utilize Microsoft Intune. A Intune utiliza "perfis de configuração" para criar e personalizar estas definições para as necessidades da sua organização. Depois de adicionar estas funcionalidades num perfil, em seguida, empurre ou implemente o perfil para dispositivos macOS na sua organização.

Este artigo descreve extensões do sistema e extensões de núcleo. Também mostra como criar um perfil de configuração do dispositivo utilizando extensões no Intune.

Extensões do sistema

As extensões do sistema funcionam no espaço do utilizador e não acedem ao núcleo. O objetivo é aumentar a segurança, fornecer mais controlo final do utilizador e limitar os ataques ao nível do kernel. Estas extensões podem ser:

• Extensões do condutor, incluindo controladores para USB, cartões de interface de rede (NIC), controladores de série e dispositivos de interface humana (HID)
• Extensões de rede, incluindo filtros de conteúdo, proxies DNS e clientes VPN
• Extensões de segurança de ponto final, incluindo deteção de pontos finais, resposta ao ponto final e antivírus

As extensões do sistema estão incluídas no pacote de uma aplicação e instaladas a partir da aplicação.

Para obter mais informações sobre as extensões do sistema, consulte as extensões do sistema (abre o site da Apple).

Extensões de kernel

As extensões kernel adicionam funcionalidades ao nível do núcleo. Estas funcionalidades acedem a partes do SISTEMA que os programas regulares não conseguem aceder. A sua organização pode ter necessidades ou requisitos específicos que não estão disponíveis numa aplicação, uma funcionalidade do dispositivo, e assim por diante.

Por exemplo, tem um programa de digitalização de vírus que verifica o seu dispositivo por conteúdo malicioso. Pode adicionar a extensão do núcleo do programa de digitalização do vírus como uma extensão de núcleo permitido em Intune. Em seguida, "atribua" a extensão aos seus dispositivos macOS.

Com esta funcionalidade, os administradores podem permitir que os utilizadores sobreponham extensões de kernel, adicione identificadores de equipa e adicione extensões específicas de kernel no Intune.

Para obter mais informações sobre extensões de kernel, consulte as extensões de kernel (abre o site da Apple).

Importante

As extensões kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS que funcionam em silício Apple. Este comportamento é um problema conhecido, sem ETA. É possível que os consigas pôr a trabalhar, mas não é recomendado. Para mais informações, consulte as extensões do Kernel no macOS (abre o site da Apple).

Para quaisquer dispositivos macOS com 10.15 e mais recentes, recomendamos a utilização de extensões do sistema (neste artigo). Se utilizar as definições de extensões de kernel, considere excluir os dispositivos macOS com chips M1 de receber o perfil de extensões de kernel.

Pré-requisitos

• Esta funcionalidade aplica-se a:

  • macOS 10.13.2 e mais recente (extensões de kernel)
  • macOS 10.15 e mais recente (extensões do sistema)

  Do macOS 10.15 a 10.15.4, as extensões de kernel e extensões do sistema podem ser executadas lado a lado.

• Para utilizar esta funcionalidade, os dispositivos devem ser:

  • Matriculado em Intune usando o Programa de Inscrição de Dispositivos da Apple (DEP). A inscrição automática de dispositivos macOS tem mais informações.

    OU

  • Inscrito no Intune com "inscrição aprovada pelo utilizador" (termo da Apple). Prepare-se para alterações nas extensões de kernel no macOS High Sierra (abre o site da Apple) tem mais informações.

O que tem de saber

• Podem ser adicionadas extensões de núcleos de legado não assinadas e extensões do sistema.
• Certifique-se de que introduz o identificador de equipa correto e o iD do pacote da extensão. Intune não valida os valores que introduz. Se introduzir informações erradas, a extensão não funcionará no dispositivo. Um identificador de equipa tem exatamente 10 caracteres alfanuméricos.

Nota

A Apple divulgou informações sobre a assinatura e a notarização de todos os softwares. No macOS 10.14.5 e mais recente, as extensões de kernel implementadas através do Intune não têm de cumprir a política de notás de notás.

Para obter informações sobre esta política de notariado, bem como quaisquer atualizações ou alterações, consulte os seguintes recursos:

• Notarizar a sua app antes da distribuição (abre o site da Apple)
• Prepare-se para alterações nas extensões do kernel no macOS High Sierra (abre o site da Apple)

Criar o perfil

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione perfis > de configuração de dispositivos > Criar perfil.

3. Introduza as seguintes propriedades:

   • Plataforma: Selecione macOS
   • Perfil: Selecione extensões de > modelos.

4. Selecione Criar.

5. No Básico, insira as seguintes propriedades:

   • Nome: Introduza um nome descritivo para a apólice. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é macOS: Adicione a varredura AV às extensões de kernel nos dispositivos.
   • Descrição: Introduza uma descrição para a apólice. Esta definição é opcional, mas recomendada.

6. Selecione Seguinte.

7. Nas definições de configuração, configure as suas definições:

   • macOS

8. Selecione Seguinte.

9. Nas etiquetas Scope (opcional), atribua uma etiqueta para filtrar o perfil a grupos de TI específicos, tais como US-NC IT Team ou JohnGlenn_ITDepartment . Para obter mais informações sobre etiquetas de âmbito, consulte Use RBAC e etiquetas de âmbito para TI distribuídos.

   Selecione Seguinte.

10. Em Atribuições, selecione os utilizadores ou grupos que receberão o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

11. Em Rever + criar, rever as suas definições. Quando selecionar Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Passos seguintes

Certifique-se de atribuir o perfil e monitorizar o seu estado.