Adicionar extensões de kernel e sistema macOS no Intune
Em dispositivos macOS, pode adicionar extensões de kernel e extensões de sistema. Tanto as extensões de kernel como as extensões do sistema permitem que os utilizadores instalem extensões de aplicações que expandem as capacidades nativas do sistema operativo. As extensões de kernel executam o código ao nível do kernel. As extensões de sistema são executadas num espaço de utilizador fortemente controlado.
Observação
As extensões de kernel do macOS estão a ser substituídas por extensões de sistema. Para obter mais informações, aceda a Sugestão de Suporte: Utilizar extensões do sistema em vez de extensões de kernel para o macOS Catalina 10.15 no Intune.
Para adicionar extensões que têm sempre permissão para carregar nos seus dispositivos, utilize Microsoft Intune. O Intune usa perfis de configuração para criar e personalizar essas configurações de acordo com as necessidades da sua organização. Depois de adicionar estas funcionalidades numa política, em seguida, emita ou implemente a política em dispositivos macOS na sua organização.
Esse recurso aplica-se a:
- macOS
Este artigo descreve extensões de sistema e extensões de kernel. Também mostra como criar uma política de configuração de dispositivos com extensões de kernel no Intune.
Extensões de sistema
As extensões de sistema são executadas no espaço de utilizador e não acedem ao kernel. O objetivo é aumentar a segurança, fornecer mais controlo do utilizador final e limitar os ataques ao nível do kernel. Estas extensões podem ser:
- Extensões de controlador, incluindo controladores para USB, cartões de interface de rede (NIC), controladores de série e dispositivos de interface humana (HID)
- Extensões de rede, incluindo filtros de conteúdo, proxies DNS e clientes VPN
- Extensões de segurança de pontos finais, incluindo deteção de pontos finais, resposta de ponto final e antivírus
As extensões de sistema estão incluídas no pacote de uma aplicação e instaladas a partir da aplicação. Especificamente, escreve a extensão do sistema e, em seguida, empacota a extensão no pacote de aplicações. Para obter mais informações, aceda a extensões de sistema (abre o site da Apple).
Quando a aplicação com a extensão do sistema estiver pronta, pode implementar a aplicação com Microsoft Intune. Para obter mais informações, aceda a Adicionar aplicações a Microsoft Intune.
Extensões de kernel
Observação
As extensões de kernel do macOS estão a ser substituídas por extensões de sistema. Para obter mais informações, aceda a Sugestão de Suporte: Utilizar extensões do sistema em vez de extensões de kernel para o macOS Catalina 10.15 no Intune.
As extensões de kernel adicionam funcionalidades ao nível do kernel. Estas funcionalidades acedem a partes do SO às quais os programas normais não conseguem aceder. Podem ser utilizadas se a sua organização tiver necessidades ou requisitos específicos que não estão disponíveis numa aplicação ou numa funcionalidade de dispositivo.
Por exemplo, tem um programa de análise de vírus que procura conteúdo malicioso no seu dispositivo. Pode adicionar a extensão de kernel deste programa de análise de vírus como uma extensão de kernel permitida no Intune. Em seguida, atribua a extensão aos seus dispositivos macOS.
Com esta funcionalidade, os administradores podem permitir que os utilizadores substituam extensões de kernel, adicionem identificadores de equipa e adicionem extensões de kernel específicas no Intune.
Para obter mais informações sobre extensões de kernel, aceda a extensões de kernel (abre o site da Apple).
Importante
As extensões de kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS em execução no Apple Silicon. Este comportamento é um problema conhecido, sem ETA. É possível que os consiga pôr a trabalhar, mas não é recomendado. Para obter mais informações, aceda a Extensões de kernel no macOS (abre o site da Apple).
Para quaisquer dispositivos macOS com a versão 10.15 e posterior, recomendamos a utilização de extensões de sistema (neste artigo). Se utilizar as definições de extensões de kernel, considere excluir os dispositivos macOS com chips M1 de receberem o perfil de extensões de kernel.
Pré-requisitos
Esse recurso aplica-se a:
- macOS 10.13.2 e mais recente (extensões de kernel)
- macOS 10.15 e mais recente (extensões do sistema)
Do macOS 10.15 para a 10.15.4, as extensões de kernel e as extensões do sistema podem ser executadas lado a lado.
Para utilizar esta funcionalidade, os dispositivos têm de ser:
Inscrito no Intune com a Inscrição Automatizada de Dispositivos (ADE), anteriormente denominado Programa de Inscrição de Dispositivos (DEP). Para obter mais informações sobre esta opção de inscrição, aceda a:
- Inscrição automatizada de dispositivos (ADE) para dispositivos macOS
- Inscrever automaticamente dispositivos macOS
OU
Inscrito no Intune com a Inscrição de dispositivos, também conhecida como inscrição aprovada pelo utilizador. Este método de inscrição é comum em dispositivos pessoais. Para obter mais informações sobre esta opção de inscrição, aceda a:
Para obter mais informações sobre as opções de inscrição para dispositivos macOS, aceda a Guia de inscrição: Inscrever dispositivos macOS no Microsoft Intune.
-
Para criar a política, no mínimo, inicie sessão no centro de administração do Microsoft Intune com uma conta que tenha a função incorporada Gestor de Políticas e Perfis. Para obter mais informações sobre as funções incorporadas, aceda a Controlo de acesso baseado em funções para Microsoft Intune.
O que você precisa saber
- Podem ser adicionadas extensões de kernel legadas não assinadas e extensões de sistema.
- Certifique-se de que introduz o identificador de equipa correto e o ID do pacote da extensão. Intune não valida os valores introduzidos. Se introduzir informações erradas, a extensão não funcionará no dispositivo. Um identificador de equipa tem exatamente 10 carateres alfanuméricos.
Observação
A Apple divulgou informações sobre assinatura e notação para todo o software. No macOS 10.14.5 e mais recente, as extensões de kernel implementadas através de Intune não têm de cumprir a política de notarização da Apple.
Para obter informações sobre esta política de notação e quaisquer atualizações ou alterações, aceda aos seguintes recursos:
- Notarizar a sua aplicação antes da distribuição (abre o site da Apple)
- Preparar as alterações às extensões de kernel no macOS High Sierra (abre o site da Apple)
Criar a política de extensão de kernel
Importante
Este modelo de extensões macOS foi preterido na versão de serviço de agosto de 2024 (2408). As políticas existentes continuam a funcionar. No entanto, não pode criar novas políticas com este modelo.
Em vez disso, utilize o catálogo de definições para criar novas políticas que configuram o payload da Extensão do Sistema. Para saber mais sobre o catálogo de definições, aceda ao catálogo de definições.
Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.
Insira as seguintes propriedades:
- Plataforma: selecione macOS
- Tipo de perfil: selecioneExtensões>de Modelos.
Selecionar Criar.
Em Noções básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a análise macOS-AV com extensões de kernel.
- Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.
Selecione Avançar.
Nas Definições de configuração, configure as definições:
Selecione Avançar.
Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como
US-NC IT Team
ouJohnGlenn_ITDepartment
. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar RBAC e etiquetas de âmbito para TI distribuídas.Selecione Avançar.
Em Atribuições, selecione os usuários ou grupos que receberão o perfil. Para obter mais informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.
Selecione Avançar.
Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.