Partilhar via

configurações de dispositivos macOS para configurar e utilizar extensões de kernel e sistema em Intune

  • Artigo

Nota

as extensões de kernel macOS estão a ser substituídas por extensões do sistema. Para obter mais informações, consulte a Dica de Suporte: Utilizar extensões do sistema em vez de extensões de kernel para o macOS Catalina 10.15 em Intune.

Este artigo descreve as diferentes definições de kernel e extensão do sistema que pode controlar em dispositivos macOS. Como parte da solução de gestão de dispositivos móveis (MDM), utilize estas definições para adicionar e gerir extensões nos seus dispositivos.

Para saber mais sobre extensões em Intune, e quaisquer pré-requisitos, consulte adicionar extensões de macOS.

Estas definições são adicionadas a um perfil de configuração do dispositivo no Intune e, em seguida, atribuídas ou implementadas nos dispositivos macOS.

Antes de começar

Crie um perfil de configuração do dispositivo de extensões macOS.

Nota

Estas definições aplicam-se a diferentes tipos de matrículas. Para obter mais informações sobre os diferentes tipos de matrículas, consulte a inscrição no macOS.

Extensões de kernel

Esta funcionalidade aplica-se a:

  • macOS 10.13.2 e mais recente
  • É necessária inscrição no dispositivo aprovado pelo utilizador

Importante

As extensões kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS que funcionam em silício Apple. Este comportamento é um problema conhecido, sem ETA.

Para quaisquer dispositivos macOS com 10.15 e mais recentes, recomendamos a utilização de extensões do sistema (neste artigo). Se utilizar as definições de extensões de kernel, considere excluir os dispositivos macOS com chips M1 de receber o perfil de extensões de kernel.

Definições aplicam-se a: Inscrição de dispositivo aprovado pelo utilizador, inscrição de dispositivo automatizado

  • Permitir substituições do utilizador: Sim, permite que os utilizadores aprovem extensões de núcleo não incluídas no perfil de configuração. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá impedir que os utilizadores permitam extensões não incluídas no perfil de configuração. Ou seja, apenas são permitidas extensões incluídas no perfil de configuração.

    Para obter mais informações sobre esta funcionalidade, consulte o carregamento de extensão de kernel aprovado pelo utilizador (abre o site da Apple).

  • Identificadores de equipa permitidos: Utilize esta definição para permitir uma ou muitas identificações de equipa. Quaisquer extensões de kernel assinadas com os IDs da equipa que insire são permitidas e confiáveis. Por outras palavras, utilize esta opção para permitir todas as extensões de kernel dentro do mesmo ID da equipa, que pode ser um desenvolvedor ou parceiro específico.

    Adicione um identificador de equipa de extensões de núcleo válidos e assinados à carga. Pode adicionar vários identificadores de equipa. O identificador de equipa deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, introduza ABCDE12345.

    Depois de adicionar um identificador de equipa, também pode ser eliminado.

    Localizar o seu Team ID (abre o site da Apple) tem mais informações.

    Dica

    O Team ID está armazenado na base de dados local da KextPolicy. Pode obter o Team ID utilizando o sqlite3 comando a partir de um dispositivo macOS que tem a mesma aplicação instalada:

    1. No dispositivo macOS, abra a aplicação Terminal e execute o seguinte script:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • No nosso exemplo, o nome de volume é Macintosh HD. Atualize o script com o seu nome de volume.
      • Certifique-se de que tem acesso à raiz e pode executar um SUDO comando no dispositivo.

    2. Reveja a saída. A primeira entrada é a identificação da equipa. No nosso exemplo, o Team ID PXPZ95SK77 é:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Extensões de kernel permitidas: Utilize esta definição para permitir extensões específicas do núcleo. Apenas as extensões de núcleo que inseis são permitidas ou fidedignas.

    Adicione o identificador de feixes e o identificador de equipa de uma extensão de núcleo à carga. Para extensões de núcleo legado não assinadas, use um identificador de equipa vazio. Pode adicionar várias extensões de núcleo. O identificador de equipa deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, com.contoso.appname.macos insira para o Bundle ID, e para o ABCDE12345 identificador de equipa.

    Dica

    Para obter o Bundle ID de uma extensão de kernel (Kext) num dispositivo macOS, pode:

    1. No Terminal, kextstat | grep -v com.apple corra, e note a saída. Instale o software ou o Kext que deseja. Corra kextstat | grep -v com.apple de novo, e procure mudanças.

      No Terminal, kextstat lista todas as extensões de núcleo no SISTEMA.

    2. No dispositivo, abra o ficheiro Information Property List (Info.plist) para um Kext. O iD do pacote é mostrado. Cada Kext tem um ficheiro Info.plist armazenado no interior.

Nota

Não tens de adicionar identificadores de equipa e extensões de núcleo. Pode configurar um ou outro.

Extensões do sistema

Esta funcionalidade aplica-se a:

  • macOS 10.15 e mais recente
  • É necessária inscrição no dispositivo aprovado pelo utilizador

Definições aplicam-se a: Inscrição de dispositivo aprovado pelo utilizador, inscrição de dispositivo automatizado

  • Block User Overrides: Sim impede os utilizadores de aprovarem extensões do sistema que não estão na lista permitida. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores aprovem extensões desconhecidas não incluídas no perfil de configuração. Ou seja, são permitidas extensões não incluídas no perfil de configuração.

  • Identificadores de equipa permitidos: Utilize esta definição para permitir uma ou muitas identificações de equipa. Quaisquer extensões de sistema assinadas com os IDs da equipa que inseis são sempre permitidas e fidedignas. Por outras palavras, utilize esta opção para permitir todas as extensões do sistema dentro do mesmo ID da equipa, que pode ser um desenvolvedor ou parceiro específico.

    Adicione um identificador de equipa de extensões de sistema válidas e assinadas para carregar. Pode adicionar vários identificadores de equipa. O identificador de equipa deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, introduza ABCDE12345.

    Depois de adicionar um identificador de equipa, também pode ser eliminado.

    Localizar o seu Team ID (abre o site da Apple) tem mais informações.

    Dica

    Também pode obter o ID da equipa a partir de um mac onde a aplicação está instalada

    No Terminal, corra:

    systemextensionsctl list

    e note a saída:

    Por exemplo, UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    A primeira entrada é a identificação da equipa que precisas. UBF8T346G9 no nosso exemplo

  • Extensões permitidas do sistema: Utilize esta definição para permitir sempre extensões específicas do sistema. Apenas as extensões do sistema que inseriu são permitidas ou fidedignas.

    Adicione o identificador bundle e o identificador de equipa de uma extensão do sistema à carga. Para extensões do sistema legado não assinadas, utilize um identificador de equipa vazio. Pode adicionar várias extensões do sistema. O identificador de equipa deve ser alfanumérico (letras e números) e ter 10 caracteres. Por exemplo, com.contoso.appname.macos insira para o Bundle ID, e para o ABCDE12345 identificador de equipa.

  • Tipos de extensão do sistema permitidos: Introduza o ID da equipa e os tipos de extensão do sistema para permitir o ID da equipa:

    • Identificador de equipa: Introduza o ID da equipa de outra extensão do sistema que pretende permitir tipos de extensão específicos. Ou introduza um ID de equipa que adicionou às extensões do sistema Permitidas.

    • Tipos de extensão do sistema permitidos: Selecione os tipos de extensão do sistema para permitir cada ID de equipa. As opções são:

      • Selecionar tudo
      • Extensões do condutor
      • Extensões de rede
      • Extensões de segurança endpoint

      Para obter mais informações sobre estes tipos de extensão, consulte extensões do sistema (abre o site da Apple).

      Pode adicionar um ID de equipa da lista de extensões do sistema Permitido e permitir um tipo de extensão específico. Se a extensão é um tipo que não é permitido, então a extensão pode não ser executada.

      Para permitir todos os tipos de extensão para um Team ID, adicione o ID da equipa à lista de extensões do sistema Permitido. Não adicione o ID da equipa à lista de tipos de extensão do sistema permitido. Por outras palavras, se um ID de equipa estiver na lista de extensões do sistema Permitido, e não na lista de tipos de extensão do sistema Permitido, todos os tipos de extensão são permitidos para esse ID da equipa.

Nota

Adicionar o mesmo ID de Equipa para extensões de sistema permitidas e identificadores de equipas permitidos pode resultar num erro e a falha de perfil. Não adicione o mesmo identificador de equipa a ambas as definições.

Passos seguintes

Atribua o perfil e monitorize o respetivo estado.