在 Intune 中新增 macOS 系統和核心延伸模組

在macOS裝置上，您可以新增核心延伸模組和系統延伸模組。 核心延伸模組和系統延伸模組都可讓使用者安裝應用程式延伸模組，以擴充操作系統的原生功能。 核心延伸模組會在核心層級執行其程序代碼。 系統延伸模組會在嚴密控制的用戶空間中執行。

注意事項

macOS 核心延伸模組正被系統延伸模組取代。 如需詳細資訊，請移至 支援提示：在 Intune 中使用系統延伸模組，而不是 macOS Catalina 10.15 的核心延伸模組。

若要新增一律允許在裝置上載入的擴充功能，請使用 Microsoft Intune。 Intune 會使用組態配置檔來建立和自定義這些設定，以滿足組織的需求。 在原則中新增這些功能之後，您接著會將原則推送或部署至組織中的 macOS 裝置。

本功能適用於：

• macOS

本文說明系統延伸模組和核心延伸模組。 它也會示範如何在 Intune 中使用核心延伸模組建立裝置設定原則。

系統延伸模組

系統延伸模組會在用戶空間中執行，且不會存取核心。 其目標是提高安全性、提供更多使用者控制，以及限制核心層級攻擊。 這些延伸模組可以是：

• 驅動程式延伸模組，包括 USB 的驅動程式、網路適配器 (NIC) 、序列控制器，以及 HID (人介面裝置)
• 網路延伸模組，包括內容篩選器、DNS Proxy 和 VPN 用戶端
• 端點安全性延伸模組，包括端點偵測、端點回應和防病毒軟體

系統延伸模組包含在應用程式的套件組合中，並從應用程式安裝。 具體而言，您會撰寫系統延伸模組，然後在應用程式套件組合中封裝延伸模組。 如需詳細資訊，請移至 系統延伸 模組 (開啟Apple的網站) 。

當具有系統延伸模組的應用程式準備就緒時，您可以使用 Microsoft Intune 部署應用程式。 如需詳細資訊，請移至將應用程式新增至 Microsoft Intune。

核心延伸模組

注意事項

macOS 核心延伸模組正被系統延伸模組取代。 如需詳細資訊，請移至 支援提示：在 Intune 中使用系統延伸模組，而不是 macOS Catalina 10.15 的核心延伸模組。

核心延伸模組會在核心層級新增功能。 這些功能會存取一般程式無法存取的OS部分。 如果您的組織有應用程式或裝置功能中無法使用的特定需求或需求，則可以使用它們。

例如，您有一個病毒掃描程式，可掃描裝置是否有惡意內容。 您可以將此病毒掃描程式的核心延伸模組新增為 Intune 中允許的核心延伸模組。 然後，將延伸模組指派給 macOS 裝置。

透過這項功能，系統管理員可以允許使用者覆寫核心延伸模組、新增小組標識碼，以及在 Intune 中新增特定的核心延伸模組。

如需核心延伸模組的詳細資訊，請移至 核心延伸 模組 (開啟 Apple 的網站) 。

重要事項

核心延伸模組無法在具有 M1 晶片的 macOS 裝置上運作，M1 晶片是在 Apple 晶片上執行的 macOS 裝置。 此行為是已知問題，沒有ETA。 您可以讓它們能夠運作，但不建議這麼做。 如需詳細資訊，請移至 macOS 中的核心延伸 模組 (開啟 Apple 的網站) 。

對於執行 10.15 和更新版本的任何 macOS 裝置，建議您使用本文) 中 (的 系統延伸 模組。 如果您使用核心延伸模組設定，請考慮排除具有 M1 晶片的 macOS 裝置接收核心延伸模組設定檔。

必要條件

• 本功能適用於：

  • macOS 10.13.2 和更新 (核心延伸模組)
  • macOS 10.15 和更新 (系統擴充功能)

  從 macOS 10.15 到 10.15.4，核心延伸模組和系統延伸模組可以並行執行。

• 若要使用這項功能，裝置必須：

  • 使用 自動化裝置註冊 (ADE) 在 Intune 中註冊，先前稱為裝置註冊計劃 (DEP) 。 如需此註冊選項的詳細資訊，請移至：

    • 適用於macOS裝置的自動裝置註冊 (ADE)
    • 自動註冊macOS裝置

    OR

  • 使用 裝置註冊在 Intune 中註冊，也稱為 使用者核准的註冊。 此註冊方法在個人擁有的裝置上很常見。 如需此註冊選項的詳細資訊，請移至：

    • BYOD：macOS 裝置的裝置註冊
    • 準備變更 macOS High Sierra 中的核心延伸 模組 (開啟 Apple 的網站)

  如需macOS裝置註冊選項的詳細資訊，請移至註冊指南：在 Microsoft Intune 中註冊macOS裝置。

• 若要建立原則，請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊，請移至 Microsoft Intune 的角色型訪問控制。

您需要知道的事項

• 您可以新增未簽署的舊版核心延伸模組和系統延伸模組。
• 請務必輸入正確的小組標識碼和延伸模組的套件組合標識碼。 Intune 不會驗證您輸入的值。 如果您輸入錯誤的信息，擴充功能將無法在裝置上運作。 小組標識碼的長度剛好是10個英數位元。

注意事項

Apple 發行了所有軟體的簽署和公證相關信息。 在 macOS 10.14.5 和更新版本上，透過 Intune 部署的核心延伸模組不需要符合 Apple 的公證原則。

如需此公證原則以及任何更新或變更的相關信息，請移至下列資源：

• 發佈 (開 啟 Apple 的網站)
• 準備變更 macOS High Sierra 中的核心延伸 模組 (開啟 Apple 的網站)

建立核心擴充原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>設定>建立]。

3. 輸入下列內容：

   • 平台：選取 macOS
   • 配置檔類型：選取 [範本>延伸模組]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的原則名稱是 使用核心延伸模組進行macOS-AV掃描。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [ 組態設定] 中，設定您的設定：

   • macOS

8. 選取[下一步]。

9. 在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊，請移至 使用分散式IT的 RBAC 和範圍標籤。

   選取 [下一步]。

10. 在 [ 指派] 中，選取將接收您配置檔的使用者或群組。 如需指派配置檔的詳細資訊，請移至 指派使用者和裝置配置檔。

    選取[下一步]。

11. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

資源

請務必 指派配置檔 並 監視其狀態。