分享方式:


在 Intune 中設定及使用核心和系統延伸模組的 macOS 裝置設定

注意事項

本文說明您可以在 macOS 裝置上控制的不同核心和系統延伸模組設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來新增和管理裝置上的擴充功能。

本功能適用於:

  • macOS

若要深入瞭解 Intune 中的擴充功能和任何必要條件,請移至 新增 macOS 擴充功能

這些設定會新增至 Intune 中的裝置組態配置檔,然後指派或部署到您的 macOS 裝置。

開始之前

核心延伸模組

本功能適用於:

  • macOS 10.13.2 和更新版本

您需要知道的事項

  • 核心延伸模組無法在具有 M1 晶片的 macOS 裝置上運作,M1 晶片是在 Apple 晶片上執行的 macOS 裝置。 此行為是已知問題,沒有ETA。

  • 對於執行 10.15 和更新版本的任何 macOS 裝置,建議您使用本文) 中 (的 系統延伸 模組。 如果您使用核心延伸模組設定,請考慮排除具有 M1 晶片的 macOS 裝置接收核心延伸模組設定檔。

設定適用於:使用者核准的裝置註冊、自動裝置註冊

注意事項

您不需要新增小組識別碼和核心延伸模組。 您可以設定其中一個。

  • 允許使用者覆寫[是 ] 可讓使用者核准未包含在組態配置檔中的核心延伸模組。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者允許未包含在組態配置檔中的擴充功能。 也就是說,只允許包含在組態配置檔中的延伸模組。

    如需此功能的詳細資訊,請移至 使用者核准的核心延伸模組載入 (開啟 Apple 的網站) 。

  • 允許的小組識別碼:使用此設定來允許一或多個小組標識碼。 任何以您輸入的小組標識碼簽署的核心擴充功能都允許並受到信任。 換句話說,使用此選項可允許相同小組標識碼內的所有核心延伸模組,這可以是特定的開發人員或合作夥伴。

    輸入要載入之有效和已簽署核心延伸模組的小組標識碼。 您可以新增多個小組識別碼。 小組標識碼必須是英數位元 (字母和數位) ,而且有 10 個字元。 例如,輸入 ABCDE12345

    新增小組標識碼之後,也可以加以刪除。

    找到您的小組標識 碼 (開啟 Apple 的網站) 具有詳細資訊。

    提示

    小組標識符會儲存在本機 KextPolicy 資料庫上。 您可以從已安裝相同應用程式的 macOS 裝置使用 sqlite3 命令來取得小組識別碼:

    1. 在macOS裝置上,開啟終端機應用程式,然後執行下列腳本:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • 在我們的範例中,磁碟區名稱為 Macintosh HD。 使用您的磁碟區名稱更新文本。
      • 請確定您具有根存取權,而且可以在 SUDO 裝置上執行命令。
    2. 檢閱輸出。 第一個專案是小組標識碼。 在我們的範例中,小組識別碼是 PXPZ95SK77

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • 允許的核心延伸模組:使用此設定來允許特定的核心延伸模組。 只允許或信任您輸入的核心延伸模組。

    輸入要載入的核心延伸模組套件組合標識碼和小組標識碼。 對於未簽署的舊版核心延伸模組,請使用空的小組標識符。 您可以新增多個核心延伸模組。 小組標識碼必須是英數位元 (字母和數位) ,而且有 10 個字元。 例如,針對[套件組合識別碼] 輸入 com.contoso.appname.macos ,針對 ABCDE12345[小組識別符] 輸入

    提示

    若要在macOS裝置上 (Kext) 取得核心延伸模組的套件組合識別碼,您可以.

    1. 在終端機應用程式中,執行 kextstat | grep -v com.apple,並記下輸出。 安裝您想要的軟體或 Kext。 再次執行 kextstat | grep -v com.apple ,並尋找變更。

      在終端機應用程式中, kextstat 列出OS上的所有核心延伸模組。

    2. 在裝置上,開啟 Kext (Info.plist) 資訊屬性清單檔案。 隨即顯示套件組合標識碼。 每個 Kext 都有儲存在其中的 Info.plist 檔案。

系統延伸模組

本功能適用於:

  • macOS 10.15 和更新版本

設定適用於:使用者核准的裝置註冊、自動裝置註冊

注意事項

允許的系統延伸 模組和 允許的小組標識元 新增相同的小組標識碼,可能會導致錯誤和配置文件失敗。 請勿將相同的小組標識碼新增至這兩個設定。

  • 封鎖使用者覆寫[是 ] 會防止使用者核准不在允許清單中的系統延伸模組。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者核准組態配置檔中未包含的未知擴充功能。 也就是說,組態配置檔中不允許包含擴充功能。

  • 允許的小組識別碼:使用此設定來允許一或多個小組標識碼。 使用您輸入的小組識別碼簽署的任何系統擴充功能一律是允許和信任的。 換句話說,使用此選項可允許相同小組標識碼內的所有系統延伸模組,這可以是特定的開發人員或合作夥伴。

    輸入要載入之有效和已簽署系統延伸模組的 Team標識碼 。 您可以新增多個小組識別碼。 小組標識碼必須是英數位元 (字母和數位) ,而且有 10 個字元。 例如,輸入 ABCDE12345

    新增小組標識碼之後,也可以加以刪除。

    找到您的小組標識 碼 (開啟 Apple 的網站) 具有詳細資訊。

    提示

    您也可以從安裝應用程式的 mac 取得小組識別碼

    在終端機應用程式中,執行:

    systemextensionsctl list

    並記下輸出:

    例如 UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    第一個專案是您需要的小組標識碼。 UBF8T346G9 在我們的範例中

  • 允許的系統延伸模組:使用此設定一律允許特定的系統延伸模組。 只允許或信任您輸入的系統延伸模組。

    輸入要載入之系統延伸模組的套件組合 識別碼小組標識碼 。 對於未簽署的舊版系統延伸模組,請使用空的小組標識符。 您可以新增多個系統延伸模組。 小組標識碼必須是英數位元 (字母和數位) ,而且有 10 個字元。 例如,針對[套件組合識別碼] 輸入 com.contoso.appname.macos ,針對 ABCDE12345[小組識別符] 輸入

  • 允許的系統延伸模組類型:輸入小組識別碼和系統擴充功能類型,以允許該小組識別碼:

    • 小組標識碼:輸入您想要允許特定擴充功能類型的另一個系統擴充功能的小組標識碼。 或者,輸入您新增至 [允許的系統延伸模組] 的 [小組標識符]

    • 允許的系統延伸模組類型:選取系統延伸模組類型,以允許每個小組識別碼。 選項包括:

      • 全選
      • 驅動程式擴充功能
      • 網路擴充功能
      • 端點安全性延伸模組

      如需這些擴充功能類型的詳細資訊,請移至 [系統延伸 模組 (開啟 Apple 的網站) 。

      您可以從 [ 允許的系統擴 充功能] 列表新增小組標識符,並允許特定的擴充功能類型。 如果延伸模組是不允許的類型,則延伸模組可能無法執行。

      若要允許小組識別碼的所有擴充功能類型,請將 [小組標識符] 新增至 [ 允許的系統擴充功能] 清單。 請勿將小組識別碼新增至 [允許的系統擴充功能類型 ] 清單。 換句話說,如果小組標識符位於 [ 允許的系統擴 充功能] 清單中,而不是在 [ 允許的系統擴充功能類型 ] 列表中,則該小組標識元允許所有擴充功能類型。

指派設定檔監視其狀態