Aracılığıyla paylaş

Intune'de çekirdek ve sistem uzantılarını yapılandırmak ve kullanmak için macOS cihaz ayarları

  • Makale

Not

Bu makalede, macOS cihazlarda denetleyebileceğiniz farklı çekirdek ve sistem uzantısı ayarları açıklanmaktadır. Mobil cihaz yönetimi (MDM) çözümünüzün bir parçası olarak, cihazlarınıza uzantı eklemek ve yönetmek için bu ayarları kullanın.

Bu özellik şu platformlarda geçerlidir:

  • macOS

Intune'deki uzantılar ve önkoşullar hakkında daha fazla bilgi edinmek için macOS uzantıları ekleme bölümüne gidin.

Bu ayarlar Intune bir cihaz yapılandırma profiline eklenir ve ardından macOS cihazlarınıza atanır veya dağıtılır.

Başlamadan önce

Çekirdek uzantıları

Bu özellik şu platformlarda geçerlidir:

  • macOS 10.13.2 ve daha yenisi

Bilmeniz gerekenler

  • Çekirdek uzantıları, Apple silicon üzerinde çalışan macOS cihazları olan M1 yongalı macOS cihazlarda çalışmaz. Bu davranış bilinen bir sorundur ve ETA yoktur.

  • 10.15 ve daha yeni sürümünü çalıştıran tüm macOS cihazları için sistem uzantıları kullanmanızı öneririz (bu makalede). Çekirdek uzantıları ayarlarını kullanıyorsanız, M1 yongalarına sahip macOS cihazlarını çekirdek uzantıları profilini almasını hariç tutabilirsiniz.

Ayarlar şunun için geçerlidir: Kullanıcı onaylı cihaz kaydı, Otomatik cihaz kaydı

Not

Ekip tanımlayıcıları ve çekirdek uzantıları eklemeniz gerekmez. Birini veya diğerini yapılandırabilirsiniz.

  • Kullanıcı Geçersiz Kılmalarına İzin Ver: Evet , kullanıcıların yapılandırma profiline dahil olmayan çekirdek uzantılarını onaylamasına olanak tanır. Yapılandırılmadı (varsayılan) olarak ayarlandığında Intune bu ayarı değiştirmez veya güncelleştirmez. Varsayılan olarak, işletim sistemi kullanıcıların yapılandırma profiline dahil olmayan uzantılara izin vermesini engelleyebilir. Yani yalnızca yapılandırma profiline dahil edilen uzantılara izin verilir.

    Bu özellik hakkında daha fazla bilgi için kullanıcı onaylı çekirdek uzantısı yükleme (Apple'ın web sitesini açar) bölümüne gidin.

  • İzin Verilen Ekip Tanımlayıcıları: Bir veya birden çok ekip kimliğine izin vermek için bu ayarı kullanın. Girdiğiniz ekip kimlikleriyle imzalanan tüm çekirdek uzantılarına izin verilir ve güvenilir. Başka bir deyişle, belirli bir geliştirici veya iş ortağı olabilecek aynı ekip kimliğindeki tüm çekirdek uzantılarına izin vermek için bu seçeneği kullanın.

    Yüklenip yüklenmek üzere geçerli ve imzalı çekirdek uzantılarının ekip tanımlayıcısını girin. Birden çok ekip tanımlayıcısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, girin ABCDE12345.

    Bir ekip tanımlayıcısı ekledikten sonra, bu tanımlayıcı da silinebilir.

    Ekip Kimliğinizi bulun (Apple'ın web sitesini açar) daha fazla bilgi içerir.

    İpucu

    Ekip Kimliği yerel KextPolicy veritabanında depolanır. Takım Kimliğini, aynı uygulamanın yüklü olduğu bir macOS cihazından komutunu kullanarak sqlite3 alabilirsiniz:

    1. macOS cihazında Terminal uygulamasını açın ve aşağıdaki betiği çalıştırın:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • Örneğimizde birim adı Macintosh HD'dir. Betiği birim adınızla güncelleştirin.
      • Kök erişiminiz olduğundan ve cihazda bir SUDO komut çalıştırabildiğinize emin olun.

    2. Çıkışı gözden geçirin. İlk girdi, Takım Kimliği'dir. Örneğimizde Ekip Kimliği:PXPZ95SK77

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • İzin Verilen Çekirdek Uzantıları: Belirli çekirdek uzantılarına izin vermek için bu ayarı kullanın. Yalnızca girdiğiniz çekirdek uzantılarına izin verilir veya güvenilirdir.

    Yüklenemiyor çekirdek uzantısının paket tanımlayıcısını ve ekip tanımlayıcısını girin. İmzalanmamış eski çekirdek uzantıları için boş bir ekip tanımlayıcısı kullanın. Birden çok çekirdek uzantısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, Paket Kimliği ve ABCDE12345Ekip tanımlayıcısı için girincom.contoso.appname.macos.

    İpucu

    Bir macOS cihazında çekirdek uzantısının (Kext) Paket Kimliğini almak için şunları yapabilirsiniz:

    1. Terminal uygulamasında komutunu çalıştırın kextstat | grep -v com.appleve çıkışı not edin. İstediğiniz yazılımı veya Kext'i yükleyin. Yeniden çalıştırın kextstat | grep -v com.apple ve değişiklikleri arayın.

      Terminal uygulamasında, kextstat işletim sistemindeki tüm çekirdek uzantılarını listeler.

    2. Cihazda, Kext için Bilgi Özellik Listesi dosyasını (Info.plist) açın. Paket kimliği gösterilir. Her Kext'in içinde depolanan bir Info.plist dosyası vardır.

Sistem uzantıları

Bu özellik şu platformlarda geçerlidir:

  • macOS 10.15 ve üstü

Ayarlar şunun için geçerlidir: Kullanıcı onaylı cihaz kaydı, Otomatik cihaz kaydı

Not

İzin verilen sistem uzantıları ve İzin verilen ekip tanımlayıcıları için aynı Ekip Kimliğinin eklenmesi hataya neden olabilir ve profil başarısız olabilir. Aynı Takım Tanımlayıcısını her iki ayara da eklemeyin.

  • Kullanıcı Geçersiz Kılmalarını Engelle: Evet , kullanıcıların izin verilenler listesinde olmayan sistem uzantılarını onaylamasını engeller. Yapılandırılmadı (varsayılan) olarak ayarlandığında Intune bu ayarı değiştirmez veya güncelleştirmez. Varsayılan olarak, işletim sistemi kullanıcıların yapılandırma profiline dahil olmayan bilinmeyen uzantıları onaylamasına izin verebilir. Başka bir deyişle, yapılandırma profiline dahil olmayan uzantılara izin verilir.

  • İzin verilen ekip tanımlayıcıları: Bir veya birden çok ekip kimliğine izin vermek için bu ayarı kullanın. Girdiğiniz ekip kimlikleriyle imzalanan tüm sistem uzantılarına her zaman izin verilir ve güvenilirdir. Başka bir deyişle, belirli bir geliştirici veya iş ortağı olabilecek aynı ekip kimliğindeki tüm sistem uzantılarına izin vermek için bu seçeneği kullanın.

    Yüklenip yüklenmek üzere geçerli ve imzalı sistem uzantılarının Ekip tanımlayıcısını girin. Birden çok ekip tanımlayıcısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, girin ABCDE12345.

    Bir ekip tanımlayıcısı ekledikten sonra, bu tanımlayıcı da silinebilir.

    Ekip Kimliğinizi bulun (Apple'ın web sitesini açar) daha fazla bilgi içerir.

    İpucu

    Ayrıca, uygulamanın yüklü olduğu bir mac'ten Ekip Kimliğini de alabilirsiniz

    Terminal uygulamasında şunu çalıştırın:

    systemextensionsctl list

    ve çıkışı not edin:

    Örneğin. UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    İlk girdi, ihtiyacınız olan Takım Kimliğidir. UBF8T346G9 örneğimizde

  • İzin verilen sistem uzantıları: Belirli sistem uzantılarına her zaman izin vermek için bu ayarı kullanın. Yalnızca girdiğiniz sistem uzantılarına izin verilir veya güvenilir.

    Yüklenemiyor bir sistem uzantısının Paket tanımlayıcısını ve Ekip tanımlayıcısını girin. İmzalanmamış eski sistem uzantıları için boş bir ekip tanımlayıcısı kullanın. Birden çok sistem uzantısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, Paket Kimliği ve ABCDE12345Ekip tanımlayıcısı için girincom.contoso.appname.macos.

  • İzin verilen sistem uzantısı türleri: Ekip Kimliğini ve bu Ekip Kimliğine izin vermek için sistem uzantısı türlerini girin:

    • Takım tanımlayıcısı: Belirli uzantı türlerine izin vermek istediğiniz başka bir sistem uzantısının Ekip Kimliğini girin. Veya İzin verilen sistem uzantılarına eklediğiniz bir Ekip Kimliği girin.

    • İzin verilen sistem uzantısı türleri: Her Takım Kimliği için izin verilen sistem uzantısı türlerini seçin. Seçenekleriniz:

      • Tümünü seç
      • Sürücü uzantıları
      • Ağ uzantıları
      • Uç nokta güvenlik uzantıları

      Bu uzantı türleri hakkında daha fazla bilgi için Sistem Uzantıları'na gidin (Apple'ın web sitesini açar).

      İzin verilen sistem uzantıları listesinden bir ekip kimliği ekleyebilir ve belirli bir uzantı türüne izin vekleyebilirsiniz. Uzantı izin verilmeyen bir türse uzantı çalışmayabilir.

      Ekip Kimliği'nin tüm uzantı türlerine izin vermek için Takım Kimliğini İzin verilen sistem uzantıları listesine ekleyin. Ekip Kimliğini İzin verilen sistem uzantısı türleri listesine eklemeyin. Başka bir deyişle, bir ekip kimliği İzin verilen sistem uzantıları listesindeyse ve İzin verilen sistem uzantısıtürleri listesinde değilse, bu ekip kimliği için tüm uzantı türlerine izin verilir.

Profili atayın ve durumunu izleyin.