重要事項
此範本已在 2024 年 8 月服務版本 (2408) 中淘汰。 現有政策繼續有效。 但是,您無法使用此範本建立新原則。
請改用設定目錄來建立設定系統延伸功能承載的新原則。 若要深入瞭解設定目錄,請移至 macOS 設定目錄。
注意事項
- Intune 可能支援比本文所列設定更多的設定。 並非所有設定都會記錄在案,也不會記錄在案。 若要查看您可以設定的設定,請建立裝置組態原則,然後選取 [設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
- macOS 核心擴充功能正在被系統擴充功能取代。 如需詳細資訊,請移至 支援提示:在 Intune 中使用系統延伸模組,而不是 macOS Catalina 10.15 的核心延伸模組。
本文說明你可以在 macOS 裝置上控制的不同核心和系統延伸功能設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來在裝置上加入和管理延伸模組。
本功能適用於:
- macOS
若要深入瞭解 Intune 中的延伸模組,以及任何必要條件,請移至 新增 macOS 延伸模組。
這些設定會新增至 Intune 中的裝置組態配置檔,然後指派或部署至 macOS 裝置。
開始之前
- 建立 macOS 延伸模組裝置組態設定檔。
- 這些設定適用於不同的註冊類型。 如需不同註冊類型的詳細資訊,請移至 macOS 註冊。
核心延伸模組
本功能適用於:
- macOS 10.13.2 及更新版本
須知事項
內核擴展不適用於配備 M1 芯片的 macOS 設備,這些設備是在 Apple 芯片上運行的 macOS 設備。 此行為是已知問題,沒有預計到達時間。
對於任何執行 10.15 和更新版本的 macOS 裝置,建議使用本文) (的 系統延伸模組 。 如果您使用核心延伸模組設定,請考慮將具有 M1 晶片的 macOS 裝置排除在接收核心延伸模組設定檔之外。
設定適用於:使用者核准的裝置註冊、自動裝置註冊
注意事項
您不需要新增小組識別碼和核心延伸模組。 您可以設定其中一個或另一個。
允許使用者覆寫:「 是」 可讓使用者核准未包含在配置描述檔中的核心延伸功能。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會阻止使用者允許未包含在組態配置檔中的延伸模組。 這表示,只允許設定設定檔中包含的擴充功能。
如需此功能的詳細資訊,請移至 使用者核准的核心延伸功能載入 (開啟 Apple 網站) 。
允許的團隊識別碼:使用此設定可允許一或多個團隊識別碼。 任何使用您輸入的團隊 ID 簽署的核心延伸模組都是允許且信任的。 換句話說,使用此選項可允許相同團隊識別碼內的所有核心延伸模組,可以是特定的開發人員或合作夥伴。
輸入要載入的有效且已簽署核心延伸模組的小組識別碼。 您可以新增多個團隊識別碼。 團隊識別碼必須是字母數字 () 字母和數字,並且包含 10 個字元。 例如,輸入
ABCDE12345。新增團隊識別碼後,也可以將其刪除。
找到您的團隊 ID ( 打開 Apple 網站) 其中包含更多信息。
提示
團隊ID儲存在本機KextPolicy資料庫中。 您可以使用已安裝相同應用程式的 macOS 裝置的命令取得
sqlite3團隊 ID:在 macOS 裝置上,開啟終端機應用程式,然後執行下列指令碼:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"- 在我們的範例中,磁碟區名稱為 Macintosh HD。 使用您的磁碟區名稱更新指令碼。
- 請確定您具有 root 存取權,並且可以在裝置上執行
SUDO命令。
檢閱輸出。 第一個條目是團隊 ID。 在我們的範例中,團隊ID為
PXPZ95SK77:PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
允許的核心延伸:使用此設定可允許特定的核心延伸。 只有您輸入的核心延伸是允許或信任的。
輸入要載入的核心延伸模組的套件組合識別碼和團隊識別碼。 對於未簽署的舊版核心延伸模組,請使用空白的小組識別碼。 您可以新增多個核心延伸。 團隊識別碼必須是字母數字 () 字母和數字,並且包含 10 個字元。 例如,輸入
com.contoso.appname.macosBundle ID 和ABCDE12345Team identifier。提示
若要在 macOS 裝置上取得核心擴充功能 (Kext) 的套件 ID,您可以:
在終端機應用程式中,執行
kextstat | grep -v com.apple,並記下輸出。 安裝您想要的軟體或 Kext。 再次運行kextstat | grep -v com.apple,並尋找變化。在終端機應用程式中,
kextstat列出作業系統上的所有核心延伸模組。在裝置上,開啟 Kext 的 Info.plist) (資訊屬性清單檔案。 隨即顯示套件組合 ID。 每個 Kext 內部都儲存了一個 Info.plist 檔案。
系統擴充功能
本功能適用於:
- macOS 10.15 及更新版本
設定適用於:使用者核准的裝置註冊、自動裝置註冊
注意事項
為 允許的系統延伸 模組和 允許的小組識別碼 新增相同的小組識別碼可能會導致錯誤,且設定檔失敗。 請勿將相同的團隊識別碼新增至這兩個設定。
封鎖使用者覆寫: 是 可防止使用者核准不在允許清單中的系統延伸模組。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者核准未包含在組態配置檔中的未知延伸模組。 這意味著,允許配置配置文件中未包含的擴展。
允許的團隊識別碼:使用此設定可允許一或多個團隊識別碼。 任何使用您輸入的團隊 ID 簽署的系統擴充功能一律被允許且受信任。 換句話說,使用此選項可允許相同團隊 ID 內的所有系統擴充功能,可以是特定開發人員或合作夥伴。
輸入要載入的有效且已簽署系統延伸的 團隊識別碼 。 您可以新增多個團隊識別碼。 團隊識別碼必須是字母數字 () 字母和數字,並且包含 10 個字元。 例如,輸入
ABCDE12345。新增團隊識別碼後,也可以將其刪除。
找到您的團隊 ID ( 打開 Apple 網站) 其中包含更多信息。
提示
您也可以從安裝應用程式的 Mac 取得團隊 ID
在「終端機」App 中,執行:
systemextensionsctl list並注意輸出:
例如:
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension第一個條目是您需要的團隊 ID。
UBF8T346G9在我們的範例中允許的系統延伸模組:使用此設定可一律允許特定的系統延伸模組。 只有您輸入的系統延伸功能才被允許或信任。
輸入要載入之系統延伸的 Bundle ID 和 Team ID 。 對於未簽署的舊版系統延伸模組,請使用空的小組識別碼。 您可以新增多個系統延伸模組。 團隊識別碼必須是字母數字 () 字母和數字,並且包含 10 個字元。 例如,輸入
com.contoso.appname.macosBundle ID 和ABCDE12345Team identifier。允許的系統擴充功能類型:輸入團隊 ID 和允許該團隊 ID 的系統擴充功能類型:
團隊識別碼:輸入您要允許特定擴充功能類型的另一個系統擴充功能的團隊識別碼。 或者,輸入您新增至 [允許的系統擴充功能] 的小組 ID。
允許的系統擴充功能類型:選取要允許每個團隊 ID 的系統擴充功能類型。 選項包括:
- 全選
- 驅動程式延伸模組
- 網路延伸模組
- 端點安全性延伸模組
如需這些延伸功能的詳細資訊,請前往 「系統延伸功能」 (開啟 Apple 網站) 。
您可以從 [允許的系統延伸模組] 清單新增小組識別碼,並允許特定的延伸模組類型。 如果延伸模組是不允許的類型,則延伸模組可能無法執行。
若要允許團隊 ID 的所有擴充功能類型,請將團隊 ID 新增至 允許的系統擴充功能 清單。 請勿將小組識別碼新增至 [允許的系統延伸模組類型 ] 清單。 換句話說,如果小組識別碼位於 「允許的系統延伸模組 」清單中,而不是在「 允許的系統延伸模組類型」 清單中,則該小組識別碼允許所有延伸模組類型。