Корпоративно управление на наследени разширения на системата в macOS Big Sur

Научете как системните администратори могат да управляват инсталацията на наследени разширения на системата или ядрото (kexts) в macOS Big Sur.

Относно разширенията на системата в macOS

Разширенията на системата на macOS Catalina 10.15 и по-нови версии позволяват на софтуер, като например разширения на мрежи и решения за сигурност на крайна точка, да разширяват функционалността на macOS, без да е необходим достъп на ниво ядро. Научете как да инсталирате и управлявате разширения на системата в потребителското пространство вместо в ядрото.

Наследените разширения на системата, познати също като разширения на ядрото, или kexts, се изпълняват във високопривилегирован режим на системата. От macOS High Sierra 10.13 разширение на ядрото трябва да бъде одобрено от администраторски акаунт или профил за Mobile Device Management (Управление на мобилни устройства; MDM), за да бъде заредено.

macOS Big Sur 11.0 и по-нови версии позволяват управление на наследени разширения на системата за компютри Mac с процесор Intel и компютри Mac с Apple silicon.

Как да управлявате наследени разширения на системата

Разширения на ядрото, които използват отхвърлени и неподдържани KPI, вече не се зареждат по подразбиране. Можете да използвате MDM, за да модифицирате политиките по подразбирате да не показват диалогови прозорци периодично и да не позволяват на разширения на ядрото да се зареждат. За компютри Mac с Apple silicon първо трябва да промените политиката за сигурността.

За да инсталирате ново или актуализирано разширение на ядрото в macOS Big Sur, можете да направите едно от следните:

• Инструктирайте потребителя да следва подканите в предпочитанията за Security & Privacy (Сигурност и поверителност), за да позволи разширението, след което да рестартира своя Mac. Можете да позволите на потребители, които не са администратори, да разрешат разширението, като използвате ключа AllowNonAdminUserApprovals в полезното съдържание на Kernel Extension Policy (Правила за разширенията на ядрото) в MDM.

• Изпратете RestartDevice MDM команда и задайте RebuildKernelCachekey като True.

Всеки път, когато наборът от одобрени разширения на ядрото се промени след първоначално одобрение или ако версията е актуализирана, е необходимо рестартиране.

Допълнителни изисквания за компютри Mac с Apple silicon

Преди да инсталирате разширение на ядрото на компютър Mac с Apple silicon, политиката за сигурност трябва да бъде променена по един от следните начини:

• Ако разполагате с устройства, записани в MDM с Automated Device Enrollment (Автоматично записване на устройства), можете автоматично да упълномощите отдалечено управление на разширения на ядрото и да промените политиката за сигурност.*

• Ако имате устройства, записани в MDM с помощта на Device Enrollment (Записване на устройства), местен администратор може да промени правилата за сигурност ръчно в macOS Recovery и да упълномощи отдалечено управление на разширенията на ядрото и обновяванията на софтуера. Освен това администратор на MDM може да посъветва местния администратор да направи тази промяна, като настрои PromptUserToAllowBootstrapTokenForAuthentication в MDMOptions или като настрои същия ключ в профила за MDM.*

• Ако имате устройства, които не са включени в MDM, или устройства, записани в MDM с помощта на User Enrollment (Записване на потребители), местният администратор може да промени правилата за сигурност ръчно в macOS Recovery и да упълномощи потребителско управление на разширенията на ядрото и обновяванията на софтуера.