Administration af ældre systemudvidelser i macOS Big Sur for virksomheder

Læs om, hvordan systemadministratorer kan administrere installationen af ældre system- eller kerneudvidelser (kexts) i macOS Big Sur.

Denne artikel er tiltænkt systemadministratorer i virksomheder og på uddannelsesinstitutioner.

Om systemudvidelser i macOS

Systemudvidelser på macOS Catalina 10.15 og nyere versioner tillader software, såsom netværksudvidelser og slutpunktssikkerhedsløsninger, at udvide funktionaliteten i macOS uden at kræve adgang på kerneniveau. Læs om, hvordan du installerer og administrerer systemudvidelser i brugerområdet i stedet for kernen. 

Ældre systemudvidelser, som også kaldes kerneudvidelser eller kexts, udføres i en tilstand med mange tilladelser på systemet. Fra og med macOS High Sierra 10.13 skal en kerneudvidelse godkendes af en administratorkonto eller en MDM-profil (Mobile Device Management), før den kan indlæses.

macOS Big Sur 11.0 og nyere versioner tillader administration af ældre systemudvidelser til både Intel-baserede Mac-computere og Mac-computere med Apple Silicon.

Sådan administrerer du ældre systemudvidelser

Kerneudvidelser, der bruger tidligere udfasede og ikke-understøttede KPI'er, indlæses ikke længere som standard. Du kan bruge MDM til at ændre standardpolitikkerne for at undgå visning af dialogbokse med jævne mellemrum og for at tillade indlæsning af kerneudvidelserne. For Mac-computere med Apple Silicon skal du først ændre sikkerhedspolitikken.

Hvis du vil installere en ny eller opdateret kerneudvidelse i macOS Big Sur, kan du gøre et af følgende:

  • Bed brugeren om først at følge meddelelserne i indstillingerne for Sikkerhed & anonymitet for at tillade udvidelsen og derefter at genstarte sin Mac. Du kan give de brugere, der ikke er administratorer, tilladelse til at gøre dette ved hjælp af nøglen AllowNonAdminUserApprovals i MDM-payload til Kernel Extension Policy (kerneudvidelsespolitik).
  • Send MDM-kommandoen RestartDevice, og indstil RebuildKernelCachekey til True (Sand).

Hver gang sættet af godkendte kerneudvidelser ændres, enten efter den første godkendelse, eller hvis versionen opdateres, er en genstart påkrævet.

Yderligere krav til Mac-computere med Apple Silicon

Mac-computere med Apple Silicon kræver, at kerneudvidelser kompileres med et arm64e-stykke.

Inden du kan installere en kerneudvidelse på en Mac-computer med Apple Silicon, skal sikkerhedspolitikken ændres på en af følgende måder: 

  • Hvis du har enheder tilmeldt MDM med automatiseret enhedstilmelding, kan du automatisk godkende fjernadministration af kerneudvidelser og ændre sikkerhedspolitikken.*
  • Hvis du har enheder tilmeldt MDM med Tilmelding af enhed, kan en lokal administrator ændre sikkerhedspolitikken manuelt i macOS-gendannelse og godkende fjernadministration af kerneudvidelser og softwareopdateringer. Desuden kan en MDM-administrator råde den lokale administrator til at foretage denne ændring ved at indstille PromptUserToAllowBootstrapTokenForAuthentication i MDMOptions eller ved at indstille den samme nøgle i MDM-profilen.*
  • Hvis du har andre enheder end MDM-enheder eller enheder tilmeldt MDM med Brugertilmelding, kan en lokal administrator ændre sikkerhedspolitikken manuelt i macOS-gendannelse og godkende brugeradministration af kerneudvidelser og softwareopdateringer.

* MDM skal også kunne understøtte et Bootstrap-token. Derudover skal klienten sende Bootstrap-token til MDM-serveren, før MDM forsøger at udføre en handling, der kræver Bootstrap-token.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: