Добавление расширений системы и ядра macOS в Intune
На устройствах macOS можно добавить расширения ядра и системные расширения. Расширения ядра и системные расширения позволяют пользователям устанавливать расширения приложений, расширяющие собственные возможности операционной системы. Расширения ядра выполняют свой код на уровне ядра. Системные расширения выполняются в строго контролируемом пространстве пользователя.
Примечание.
Расширения ядра macOS заменяются системными расширениями. Дополнительные сведения см. в разделе Совет по поддержке: использование системных расширений вместо расширений ядра для macOS Catalina 10.15 в Intune.
Чтобы добавить расширения, которые всегда могут загружаться на устройствах, используйте Microsoft Intune. Intune использует профили конфигурации для создания и настройки этих параметров для вашей организации. После добавления этих функций в политику вы отправляете или развертываете политику на устройствах macOS в организации.
Данная функция применяется к:
- macOS
В этой статье описаны системные расширения и расширения ядра. Здесь также показано, как создать политику конфигурации устройств с помощью расширений ядра в Intune.
Системные расширения
Системные расширения выполняются в пользовательском пространстве и не получают доступа к ядру. Их цель — повысить безопасность, обеспечить больший контроль конечным пользователям и ограничить атаки на уровне ядра. Эти расширения могут быть следующими:
- Расширения драйверов, в том числе драйверы для USB, сетевые карты (NIC), последовательные контроллеры и устройства интерфейса пользователя (HID)
- Сетевые расширения, включая фильтры содержимого, прокси-серверы DNS и VPN-клиенты
- Расширения безопасности конечных точек, включая обнаружение конечных точек, ответ конечной точки и антивирусную программу
Системные расширения входят в пакет приложения и устанавливаются из приложения. В частности, вы пишете системное расширение, а затем упаковывайте его в пакет приложения. Дополнительные сведения см. в разделе Расширения системы (откроется веб-сайт Apple).
Когда приложение с системным расширением будет готово, его можно развернуть с помощью Microsoft Intune. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.
Расширения ядра
Примечание.
Расширения ядра macOS заменяются системными расширениями. Дополнительные сведения см. в разделе Совет по поддержке: использование системных расширений вместо расширений ядра для macOS Catalina 10.15 в Intune.
Расширения ядра добавляют функции на уровне ядра. Эти функции получают доступ к частям ОС, к которым обычные программы не могут получить доступ. Их можно использовать, если у вашей организации есть определенные потребности или требования, которые недоступны в приложении или функции устройства.
Например, у вас есть программа проверки на вирусы, которая проверяет устройство на наличие вредоносного содержимого. Вы можете добавить расширение ядра этой программы проверки вирусов в качестве разрешенного расширения ядра в Intune. Затем назначьте расширение устройствам macOS.
С помощью этой функции администраторы могут разрешить пользователям переопределять расширения ядра, добавлять идентификаторы команд и добавлять определенные расширения ядра в Intune.
Дополнительные сведения о расширениях ядра см. в разделе Расширения ядра (откроется веб-сайт Apple).
Важно!
Расширения ядра не работают на устройствах macOS с микросхемой M1, которые являются устройствами macOS, работающими на кремнии Apple. Это известная проблема без ETA. Возможно, вы можете заставить их работать, но это не рекомендуется. Дополнительные сведения см . в разделе Расширения ядра в macOS (откроется веб-сайт Apple).
Для любых устройств macOS под управлением версии 10.15 и более поздней версии рекомендуется использовать системные расширения (в этой статье). Если вы используете параметры расширений ядра, рассмотрите возможность исключения устройств macOS с микросхемами M1 из получения профиля расширений ядра.
Предварительные условия
Данная функция применяется к:
- macOS 10.13.2 и более поздней версии (расширения ядра)
- macOS 10.15 и более поздней версии (системные расширения)
С macOS 10.15 до 10.15.4 расширения ядра и системные расширения могут работать параллельно.
Чтобы использовать эту функцию, устройства должны быть следующими:
Зарегистрировано в Intune с помощью автоматической регистрации устройств (ADE), ранее называемой программой регистрации устройств (DEP). Дополнительные сведения об этом варианте регистрации см. по следующему разделу:
- Автоматическая регистрация устройств (ADE) для устройств macOS
- Автоматическая регистрация устройств macOS
ИЛИ
Зарегистрировано в Intune с помощью регистрации устройства, также известной как регистрация, утвержденная пользователем. Этот метод регистрации распространен на личных устройствах. Дополнительные сведения об этом варианте регистрации см. по следующему разделу:
- BYOD: регистрация устройств для устройств macOS
- Подготовка к изменениям расширений ядра в macOS High Sierra (откроется веб-сайт Apple)
Дополнительные сведения о параметрах регистрации для устройств macOS см. в руководстве по регистрации: Регистрация устройств macOS в Microsoft Intune.
-
Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.
Что необходимо знать
- Можно добавить неподписанные устаревшие расширения ядра и системные расширения.
- Обязательно введите правильный идентификатор команды и идентификатор пакета расширения. Intune не проверяет значения, которые вы вводите. Если ввести неправильные сведения, расширение не будет работать на устройстве. Идентификатор команды содержит ровно 10 буквенно-цифровых символов.
Примечание.
Apple выпустила информацию о подписывание и нотариализации для всего программного обеспечения. В macOS 10.14.5 и более поздней версии расширения ядра, развернутые с помощью Intune, не должны соответствовать политике нотации apple.
Сведения об этой политике заверения, а также о любых обновлениях или изменениях см. в следующих ресурсах:
- Заверять приложение в нотовом формате перед распространением (откроется веб-сайт Apple)
- Подготовка к изменениям расширений ядра в macOS High Sierra (откроется веб-сайт Apple)
Создание политики расширения ядра
Важно!
Этот шаблон расширений macOS устарел в выпуске службы за август 2024 г. (2408). Существующие политики продолжают работать. Но вы не можете создать новые политики с помощью этого шаблона.
Вместо этого используйте каталог параметров для создания новых политик, которые настраивают полезные данные расширения системы. Дополнительные сведения о каталоге параметров см. в каталоге параметров.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа: выберите macOS
- Тип профиля: выберите Шаблоны>Расширения.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — проверка macOS-AV с помощью расширений ядра.
- Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации настройте параметры:
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT TeamилиJohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.Нажмите кнопку Далее.
В поле Назначения выберите пользователей или группы, которые будет принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Ресурсы
Не забудьте назначить профиль и отслеживать его состояние.