Podniková správa starších rozšíření systému v macOS Big Sur

Přečtěte si, jak můžou správci systému spravovat v macOS Big Sur instalaci starších rozšíření systému nebo jádra (kext).

Tento článek je určený správcům systémů ve firmách a vzdělávacích institucích.

O rozšířeních systému v macOS

Rozšíření systému v macOS Catalina 10.15 a novějším umožňují softwaru, jako jsou síťová rozšíření a řešení zabezpečení koncových bodů, rozšířit funkčnost systému macOS bez potřeby přístupu na úrovni jádra. Přečtěte si, jak instalovat a spravovat rozšíření systému v uživatelském prostoru namísto jádra. 

Starší rozšíření systému, známá také jako rozšíření jádra neboli kext, se v systému spouštějí ve vysoce privilegovaném režimu. Počínaje macOS High Sierra 10.13 musí být rozšíření jádra před načtením schváleno účtem správce nebo profilem MDM.

macOS Big Sur 11.0 a novější umožňuje správu starších systémových rozšíření jak pro Macy s procesorem Intel, tak pro Macy s čipem Apple.

Jak spravovat starší rozšíření systému

Rozšíření jádra, která využívají zastaralá a nepodporovaná rozhraní KPI, se už ve výchozím nastavení nenačítají. Pomocí MDM můžete upravit výchozí zásady tak, aby se nezobrazovaly pravidelné dialogy a aby se rozšíření jádra mohla načítat. U Maců s čipem Apple je nutné nejdřív změnit zásady zabezpečení.

Chcete-li nainstalovat nové nebo aktualizované rozšíření jádra v systému macOS Big Sur, můžete použít kterýkoli z těchto postupů:

  • Požádejte uživatele, aby podle pokynů v předvolbách Zabezpečení a soukromí povolil rozšíření a potom Mac restartoval. Uživatele, kteří nejsou správci, můžete oprávnit k povolení rozšíření pomocí klíče AllowNonAdminUserApprovals v datové části Kernel Extension Policy profilu MDM.
  • Odešlete MDM příkaz RestartDevice a nastavte parametr RebuildKernelCachekey na hodnotu True.

Kdykoli se sada schválených rozšíření jádra změní, ať už po počátečním schválení, nebo po aktualizaci verze, bude nutný restart.

Další požadavky v případě Maců s čipem Apple

Pro Macy s čipem Apple je třeba při kompilaci rozšíření jádra použít slice arm64e.

Před instalací rozšíření jádra do Macu s čipem Apple je nutné změnit zásady zabezpečení jedním z následujících způsobů: 

  • Pokud máte zařízení zaregistrovaná do MDM pomocí automatické registrace zařízení, můžete automaticky povolit vzdálenou správu rozšíření jádra a změnit zásady zabezpečení.*
  • Pokud máte zařízení zaregistrovaná do MDM pomocí registrace zařízení, místní správce může změnit zásady zabezpečení ručně v Zotavení macOS a autorizovat vzdálenou správu rozšíření jádra a aktualizací softwaru. Správce MDM může navíc doporučit místnímu správci provedení této změny nastavením klíče PromptUserToAllowBootstrapTokenForAuthentication pomocí MDMOptions nebo v profilu MDM.*
  • Pokud máte zařízení neregistrovaná do MDM nebo zařízení registrovaná do MDM pomocí registrace uživatelů, místní správce může ručně změnit zásady zabezpečení v systému Zotavení macOS a autorizovat uživatelskou správu rozšíření jádra a aktualizací softwaru.

* Služba MDM musí také podporovat bootstrapový token. Kromě toho je nutné, aby klient odesílal bootstrapový token na server MDM dříve, než se služba MDM pokusí provést operaci, která vyžaduje bootstrapový token.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: