Dela via

macOS-enhetsinställningar för att konfigurera och använda kernel- och systemtillägg i Intune

  • Artikel

Obs!

Den här artikeln beskriver de olika inställningar för kernel- och systemtillägg som du kan styra på macOS-enheter. Som en del av din MDM-lösning (hantering av mobila enheter) använder du de här inställningarna för att lägga till och hantera tillägg på dina enheter.

Den här funktionen gäller för:

  • macOS

Mer information om tillägg i Intune och eventuella krav finns i Lägga till macOS-tillägg.

De här inställningarna läggs till i en enhetskonfigurationsprofil i Intune och tilldelas eller distribueras sedan till dina macOS-enheter.

Innan du börjar

Kerneltillägg

Den här funktionen gäller för:

  • macOS 10.13.2 och senare

Vad du behöver veta

  • Kerneltillägg fungerar inte på macOS-enheter med M1-chipet, som är macOS-enheter som körs på Apple-kisel. Det här beteendet är ett känt problem, utan ETA.

  • För alla macOS-enheter som kör 10.15 och senare rekommenderar vi att du använder systemtillägg (i den här artikeln). Om du använder inställningarna för kerneltillägg bör du överväga att undanta macOS-enheter med M1-chips från att ta emot profilen för kerneltillägg.

Inställningar gäller för: Användargodkänd enhetsregistrering, Automatisk enhetsregistrering

Obs!

Du behöver inte lägga till teamidentifierare och kerneltillägg. Du kan konfigurera det ena eller det andra.

  • Tillåt åsidosättning av användare: Ja tillåter att användare godkänner kerneltillägg som inte ingår i konfigurationsprofilen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard hindra användare från att tillåta tillägg som inte ingår i konfigurationsprofilen. Det innebär att endast tillägg som ingår i konfigurationsprofilen tillåts.

    Mer information om den här funktionen finns i Läsa in användargodkänt kerneltillägg (öppnar Apples webbplats).

  • Tillåtna teamidentifierare: Använd den här inställningen för att tillåta ett eller flera team-ID:t. Alla kerneltillägg som signerats med de team-ID:er som du anger är tillåtna och betrodda. Använd med andra ord det här alternativet för att tillåta alla kerneltillägg inom samma team-ID, som kan vara en specifik utvecklare eller partner.

    Ange en teamidentifierare för giltiga och signerade kerneltillägg som ska läsas in. Du kan lägga till flera teamidentifierare. Teamidentifieraren måste vara alfanumerisk (bokstäver och siffror) och ha 10 tecken. Ange till exempel ABCDE12345.

    När du har lagt till en teamidentifierare kan den också tas bort.

    Leta upp ditt team-ID (öppnar Apples webbplats) med mer information.

    Tips

    Team-ID:t lagras i den lokala KextPolicy-databasen. Du kan hämta team-ID:t med kommandot sqlite3 från en macOS-enhet som har samma app installerad:

    1. Öppna terminalappen på macOS-enheten och kör följande skript:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • I vårt exempel är volymnamnet Macintosh HD. Uppdatera skriptet med ditt volymnamn.
      • Se till att du har rotåtkomst och kan köra ett SUDO kommando på enheten.

    2. Granska utdata. Den första posten är team-ID. I vårt exempel är PXPZ95SK77team-ID:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Tillåtna kerneltillägg: Använd den här inställningen för att tillåta specifika kerneltillägg. Endast de kerneltillägg som du anger är tillåtna eller betrodda.

    Ange paketidentifieraren och teamidentifieraren för ett kerneltillägg som ska läsas in. För osignerade äldre kerneltillägg använder du en tom teamidentifierare. Du kan lägga till flera kerneltillägg. Teamidentifieraren måste vara alfanumerisk (bokstäver och siffror) och ha 10 tecken. Ange till exempel com.contoso.appname.macos för Paket-ID och ABCDE12345teamidentifierare.

    Tips

    Om du vill hämta paket-ID för ett kerneltillägg (Kext) på en macOS-enhet kan du:

    1. I terminalappen kör du kextstat | grep -v com.appleoch noterar utdata. Installera programvaran eller Kext som du vill ha. Kör kextstat | grep -v com.apple igen och leta efter ändringar.

      I terminalappen kextstat visas alla kerneltillägg i operativsystemet.

    2. På enheten öppnar du filen Informationsegenskapslista (Info.plist) för kext. Paket-ID visas. Varje Kext har en Info.plist-fil lagrad inuti.

Systemtillägg

Den här funktionen gäller för:

  • macOS 10.15 och senare

Inställningar gäller för: Användargodkänd enhetsregistrering, Automatisk enhetsregistrering

Obs!

Om du lägger till samma team-ID för Tillåtna systemtillägg och Tillåtna teamidentifierare kan det leda till ett fel och att profilen misslyckas. Lägg inte till samma exakta teamidentifierare i båda inställningarna.

  • Blockera åsidosättningar av användare: Ja hindrar användare från att godkänna systemtillägg som inte finns i listan över tillåtna. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att godkänna okända tillägg som inte ingår i konfigurationsprofilen. Det innebär att tillägg som inte ingår i konfigurationsprofilen tillåts.

  • Tillåtna teamidentifierare: Använd den här inställningen för att tillåta ett eller flera team-ID:t. Alla systemtillägg som har signerats med de team-ID:t som du anger är alltid tillåtna och betrodda. Använd med andra ord det här alternativet för att tillåta alla systemtillägg inom samma team-ID, som kan vara en specifik utvecklare eller partner.

    Ange en teamidentifierare för giltiga och signerade systemtillägg som ska läsas in. Du kan lägga till flera teamidentifierare. Teamidentifieraren måste vara alfanumerisk (bokstäver och siffror) och ha 10 tecken. Ange till exempel ABCDE12345.

    När du har lagt till en teamidentifierare kan den också tas bort.

    Leta upp ditt team-ID (öppnar Apples webbplats) med mer information.

    Tips

    Du kan också hämta team-ID:t från en mac där programmet är installerat

    I terminalappen kör du:

    systemextensionsctl list

    och notera utdata:

    E.g. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    Den första posten är det team-ID du behöver. UBF8T346G9 i vårt exempel

  • Tillåtna systemtillägg: Använd den här inställningen för att alltid tillåta specifika systemtillägg. Endast de systemtillägg som du anger är tillåtna eller betrodda.

    Ange paketidentifieraren och teamidentifieraren för ett systemtillägg som ska läsas in. För osignerade äldre systemtillägg använder du en tom teamidentifierare. Du kan lägga till flera systemtillägg. Teamidentifieraren måste vara alfanumerisk (bokstäver och siffror) och ha 10 tecken. Ange till exempel com.contoso.appname.macos för Paket-ID och ABCDE12345teamidentifierare.

  • Tillåtna typer av systemtillägg: Ange team-ID och systemtilläggstyper för att tillåta det team-ID:t:

    • Teamidentifierare: Ange team-ID för ett annat systemtillägg som du vill tillåta specifika tilläggstyper. Eller ange ett team-ID som du har lagt till i Tillåtna systemtillägg.

    • Tillåtna typer av systemtillägg: Välj de systemtilläggstyper som ska tillåtas för varje team-ID. Dina alternativ:

      • Markera alla
      • Drivrutinstillägg
      • Nätverkstillägg
      • Slutpunktssäkerhetstillägg

      Mer information om dessa tilläggstyper finns i Systemtillägg (öppnar Apples webbplats).

      Du kan lägga till ett team-ID från listan Tillåtna systemtillägg och tillåta en specifik tilläggstyp. Om tillägget är en typ som inte är tillåten kanske tillägget inte körs.

      Om du vill tillåta alla tilläggstyper för ett team-ID lägger du till team-ID:t i listan Tillåtna systemtillägg . Lägg inte till team-ID:t i listan Tillåtna systemtilläggstyper . Med andra ord, om ett team-ID finns i listan Tillåtna systemtillägg och inte i listan Tillåtna typer av systemtillägg tillåts alla tilläggstyper för det team-ID:t.

Tilldela profilen och övervaka dess status.