在 Intune 中新增 macOS 系統和核心延伸模組

在 macOS 裝置上，您可以新增核心延伸和系統延伸。 核心擴充功能和系統擴充功能都允許使用者安裝應用程式擴充功能，以擴充作業系統的原生功能。 核心延伸會在核心層級執行其程式碼。 系統延伸模組會在嚴格控制的使用者空間中執行。

注意事項

macOS 核心擴充功能正在被系統擴充功能取代。 如需詳細資訊，請移至 支援提示：在 Intune 中使用系統延伸模組，而不是 macOS Catalina 10.15 的核心延伸模組。

若要新增一律允許載入裝置的延伸模組，請使用 Microsoft Intune。 Intune 會使用組態配置檔來建立和自定義這些設定，以符合您組織的需求。 在原則中新增這些功能之後，您可以將原則推送或部署至組織中的 macOS 裝置。

本功能適用於：

• macOS

本文說明系統延伸模組和核心延伸模組。 它也示範如何使用 Intune 中的核心延伸模組來建立裝置設定原則。

系統擴充功能

系統延伸模組會在使用者空間中執行，不會存取核心。 他們的目標是提高安全性、提供更多的最終使用者控制並限制核心層級攻擊。 這些擴充功能可以是：

• 驅動程式延伸模組，包括 USB 驅動程式、網路介面卡 (NIC) 、序列控制器，以及 HID) (人機介面裝置
• 網路延伸模組，包括內容過濾器、DNS 代理和 VPN 用戶端
• 端點安全性延伸模組，包括端點偵測、端點回應和防毒軟體

系統擴充功能包含在應用程式的套件組合中，並從應用程式安裝。 具體而言，您會撰寫系統延伸模組，然後將延伸模組封裝在 App Bundle 中。 如需詳細資訊，請前往 系統延伸功能 (開啟 Apple 網站) 。

當具有系統延伸模組的應用程式準備就緒時，您可以使用 Microsoft Intune 部署應用程式。 如需詳細資訊，請移至 將 應用程式新增至 Microsoft Intune。

核心延伸模組

注意事項

macOS 核心擴充功能正在被系統擴充功能取代。 如需詳細資訊，請移至 支援提示：在 Intune 中使用系統延伸模組，而不是 macOS Catalina 10.15 的核心延伸模組。

核心延伸模組會在核心層級新增功能。 這些功能會存取一般程式無法存取的作業系統部分。 如果您的組織有應用程式或裝置功能中無法使用的特定需求或需求，則可以使用它們。

例如，您有一個病毒掃描程式，可以掃描您的裝置是否有惡意內容。 您可以將此病毒掃描程式的核心延伸模組新增為 Intune 中允許的核心延伸模組。 然後，將擴充功能指派給您的 macOS 裝置。

透過這項功能，系統管理員可以允許使用者覆寫核心延伸模組、新增小組識別碼，以及在 Intune 中新增特定核心延伸模組。

如需核心延伸功能的詳細資訊，請前往核心 延伸 ( 開啟 Apple 網站) 。

重要事項

內核擴展不適用於配備 M1 芯片的 macOS 設備，這些設備是在 Apple 芯片上運行的 macOS 設備。 此行為是已知問題，沒有預計到達時間。 您可以讓他們工作，但不建議這樣做。 如需更多資訊，請前往 macOS 中的核心延伸功能 (開啟 Apple 網站) 。

對於任何執行 10.15 和更新版本的 macOS 裝置，建議使用本文) (的 系統延伸模組 。 如果您使用核心延伸模組設定，請考慮將具有 M1 晶片的 macOS 裝置排除在接收核心延伸模組設定檔之外。

必要條件

• 本功能適用於：

  • macOS 10.13.2 和更新版本 (核心擴充功能)
  • macOS 10.15 和更新版本 (系統擴展)

  從 macOS 10.15 到 10.15.4，核心擴充功能和系統擴充可以並排運行。

• 若要使用此功能，裝置必須：

  • 使用 ADE) (自動 裝置註冊 （先前稱為 DEP) (的裝置註冊計劃） 在 Intune 中註冊。 如需此註冊選項的詳細資訊，請移至：

    • 適用於 macOS 裝置 (ADE) 自動裝置註冊
    • 自動註冊 macOS 裝置

    OR

  • 使用 裝置註冊在 Intune 中註冊，也稱為 使用者核准註冊。 此註冊方法在個人擁有的裝置上很常見。 如需此註冊選項的詳細資訊，請移至：

    • BYOD：macOS 裝置的裝置註冊
    • 準備在 macOS High Sierra 中更改內核擴展 (打開 Apple 的網站)

  如需 macOS 裝置註冊選項的詳細資訊，請移至 註冊指南：在 Microsoft Intune 中註冊 macOS 裝置。

• 使用具有原則和配置檔管理員內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊，請移至 Microsoft Intune 的角色型存取控制。

須知事項

• 可以新增未簽署的舊版核心延伸模組和系統延伸模組。
• 請務必輸入擴充功能的正確團隊識別碼和套件組合識別碼。 Intune 不會驗證您輸入的值。 如果您輸入錯誤的信息，擴展將無法在設備上運行。 團隊識別碼的長度正好是 10 個英數字元。

注意事項

Apple 發布了有關所有軟體的簽名和公證的資訊。 在 macOS 10.14.5 和更新版本上，透過 Intune 部署的核心延伸模組不需要符合 Apple 的公證原則。

如需此公證政策以及任何更新或變更的相關資訊，請前往下列資源：

• 在分發之前對您的應用程式進行公證 (開啟 Apple 的網站)
• 準備在 macOS High Sierra 中更改內核擴展 (打開 Apple 的網站)

建立核心延伸原則

重要事項

此 macOS 擴充功能範本已在 2024 年 8 月服務版本 (2408) 中淘汰。 現有政策繼續有效。 但是，您無法使用此範本建立新原則。

請改用設定目錄來建立設定系統延伸功能承載的新原則。 若要深入瞭解設定目錄，請移至 設定目錄。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選擇 macOS
   • 設定檔型別：選取 範本>擴充功能。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱: 輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，一個好的策略名稱是 使用核心擴展的 macOS-AV 掃描。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 組態設定中，設定您的設定：

   • macOS

8. 選取[下一步]。

9. 在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊，請移至 使用 分散式 IT 的 RBAC 和範圍標籤。

   選取 [下一步]。

10. 在 「指派」中，選取將接收您設定檔的使用者或群組。 如需指派設定檔的詳細資訊，請移至指派使用者和裝置設定檔。

    選取[下一步]。

11. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

資源

請務必 指派設定檔 並 監控其狀態。