在 Intune 中新增 macOS 系統和核心延伸模組
在macOS裝置上,您可以新增核心延伸模組和系統延伸模組。 核心延伸模組和系統延伸模組都可讓使用者安裝應用程式延伸模組,以擴充操作系統的原生功能。 核心延伸模組會在核心層級執行其程序代碼。 系統延伸模組會在嚴密控制的用戶空間中執行。
注意事項
macOS 核心延伸模組正被系統延伸模組取代。 如需詳細資訊,請移至支援提示:在 Intune 中使用系統延伸模組,而不是macOS Catalina 10.15的核心延伸模組。
若要新增一律允許在裝置上載入的擴充功能,請使用 Microsoft Intune。 Intune 會使用組態配置檔來建立和自定義這些設定,以滿足組織的需求。 在原則中新增這些功能之後,您接著會將原則推送或部署至組織中的 macOS 裝置。
本功能適用於:
- macOS
本文說明系統延伸模組和核心延伸模組。 它也會示範如何在 Intune 中使用核心延伸模組來建立裝置設定原則。
系統延伸模組
系統延伸模組會在用戶空間中執行,且不會存取核心。 其目標是提高安全性、提供更多使用者控制,以及限制核心層級攻擊。 這些延伸模組可以是:
- 驅動程式延伸模組,包括 USB 的驅動程式、網路適配器 (NIC) 、序列控制器,以及 HID (人介面裝置)
- 網路延伸模組,包括內容篩選器、DNS Proxy 和 VPN 用戶端
- 端點安全性延伸模組,包括端點偵測、端點回應和防病毒軟體
系統延伸模組包含在應用程式的套件組合中,並從應用程式安裝。 具體而言,您會撰寫系統延伸模組,然後在應用程式套件組合中封裝延伸模組。 如需詳細資訊,請移至 系統延伸 模組 (開啟Apple的網站) 。
當具有系統延伸模組的應用程式準備就緒時,您可以使用 Microsoft Intune 部署應用程式。 如需詳細資訊,請移至將應用程式新增至 Microsoft Intune。
核心延伸模組
注意事項
macOS 核心延伸模組正被系統延伸模組取代。 如需詳細資訊,請移至支援提示:在 Intune 中使用系統延伸模組,而不是macOS Catalina 10.15的核心延伸模組。
核心延伸模組會在核心層級新增功能。 這些功能會存取一般程式無法存取的OS部分。 如果您的組織有應用程式或裝置功能中無法使用的特定需求或需求,則可以使用它們。
例如,您有一個病毒掃描程式,可掃描裝置是否有惡意內容。 您可以將此病毒掃描程式的核心延伸模組新增為 Intune 中允許的核心延伸模組。 然後,將延伸模組指派給 macOS 裝置。
透過這項功能,系統管理員可以允許使用者覆寫核心延伸模組、新增小組標識碼,以及在 Intune 中新增特定的核心延伸模組。
如需核心延伸模組的詳細資訊,請移至 核心延伸 模組 (開啟 Apple 的網站) 。
重要事項
核心延伸模組無法在具有 M1 晶片的 macOS 裝置上運作,M1 晶片是在 Apple 晶片上執行的 macOS 裝置。 此行為是已知問題,沒有ETA。 您可以讓它們能夠運作,但不建議這麼做。 如需詳細資訊,請移至 macOS 中的核心延伸 模組 (開啟 Apple 的網站) 。
對於執行 10.15 和更新版本的任何 macOS 裝置,建議您使用本文) 中 (的 系統延伸 模組。 如果您使用核心延伸模組設定,請考慮排除具有 M1 晶片的 macOS 裝置接收核心延伸模組設定檔。
必要條件
本功能適用於:
- macOS 10.13.2 和更新 (核心延伸模組)
- macOS 10.15 和更新 (系統擴充功能)
從 macOS 10.15 到 10.15.4,核心延伸模組和系統延伸模組可以並行執行。
若要使用這項功能,裝置必須:
使用自動化裝置註冊 (ADE) 註冊 Intune,先前稱為裝置註冊計劃 (DEP) 。 如需此註冊選項的詳細資訊,請移至:
OR
使用裝置註冊 Intune 註冊,也稱為使用者核准的註冊。 此註冊方法在個人擁有的裝置上很常見。 如需此註冊選項的詳細資訊,請移至:
- BYOD:macOS 裝置的裝置註冊
- 準備變更 macOS High Sierra 中的核心延伸 模組 (開啟 Apple 的網站)
如需macOS裝置註冊選項的詳細資訊,請移至註冊指南:在 Microsoft Intune 中註冊macOS裝置。
-
若要建立原則,請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊,請移至 Microsoft Intune 的角色型訪問控制。
您需要知道的事項
- 您可以新增未簽署的舊版核心延伸模組和系統延伸模組。
- 請務必輸入正確的小組標識碼和延伸模組的套件組合標識碼。 Intune 不會驗證您輸入的值。 如果您輸入錯誤的信息,擴充功能將無法在裝置上運作。 小組標識碼的長度剛好是10個英數位元。
注意事項
Apple 發行了所有軟體的簽署和公證相關信息。 在macOS 10.14.5和更新版本上,透過Intune部署的核心延伸模組不需要符合Apple的公證原則。
如需此公證原則以及任何更新或變更的相關信息,請移至下列資源:
- 發佈 (開 啟 Apple 的網站)
- 準備變更 macOS High Sierra 中的核心延伸 模組 (開啟 Apple 的網站)
建立核心擴充原則
重要事項
此 macOS 延伸模組範本在 2024 年 8 月服務版本 (2408) 中已被取代。 現有原則會繼續運作。 但是,您無法使用此範本建立新的原則。
請改用設定目錄來建立設定系統延伸模組承載的新原則。 若要深入瞭解設定目錄,請移至 設定目錄。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
- 平台:選取 macOS
- 配置檔類型:選取 [範本>延伸模組]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 使用核心延伸模組進行macOS-AV掃描。
- 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 組態設定] 中,設定您的設定:
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 和範圍標籤。選取 [下一步]。
在 [ 指派] 中,選取將接收您配置檔的使用者或群組。 如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。