Auf Änderungen an Kernel-Erweiterungen in macOS High Sierra vorbereiten
Wenn du ein Systemadministrator bist, verwende diese Informationen, um dich auf Änderungen an Kernel-Erweiterungen vorzubereiten, wenn du das Upgrade für deine Institution auf macOS High Sierra durchführst.
Aus Sicherheitsgründen ist für Kernel-Erweiterungen, die bei oder nach der Installation von macOS High Sierra installiert werden, die Einwilligung des Benutzers erforderlich, damit diese geladen werden. Dies ist auch als User Approved Kernel Extension Loading bekannt. Auch Benutzer ohne Administratorrechte können eine Kernel-Erweiterung genehmigen.
Diese Kernel-Erweiterungen erfordern keine Genehmigung:
Erweiterungen, die vor dem Upgrade auf macOS High Sierra installiert wurden
Erweiterungen, die zuvor bereits genehmigte Erweiterungen ersetzen
Erweiterungen, die über den Befehl
spctlErweiterungen, die über die Kernel Extension Policy
Ab macOS 10.13.4 deaktiviert die Registrierung beim MDM nicht länger das User Approved Kernel Extension Loading. Erweiterungen, die aus diesem Grund in der Vergangenheit erlaubt waren, erfordern nun eine Genehmigung. Mit MDM kannst du jedoch Kernel-Erweiterungen angeben, die ohne Genehmigung geladen werden. Dazu ist ein Mac mit macOS 10.13.2 oder neuer erforderlich, der entweder über DEP beim MDM registriert ist oder dessen MDM-Registrierung mit Benutzereinwilligung erfolgt ist.
Registrierung beim MDM mit Benutzereinwilligung
macOS High Sierra 10.13.2 ermöglicht die Registrierung beim MDM „mit Benutzereinwilligung“. Dieser Registrierungstyp ist nur erforderlich, wenn du bestimmte sicherheitssensible Einstellungen auf einem Mac verwalten möchtest, dessen MDM-Registrierung nicht über DEP erfolgt.
Du kannst sicherheitssensible Einstellungen bereits auf Geräten verwalten, deren MDM-Registrierung über DEP erfolgt. Daher ist die Registrierung mit Benutzereinwilligung für diese Geräte nicht erforderlich.
Du kannst Einstellungen, die nicht sicherheitssensibel sind, für Geräte, die bei MDM ohne die Option „Durch Benutzer genehmigt“ registriert sind, weiterhin verwalten.
Registrierungstyp | Verwaltung sicherheitssensibler Einstellungen? | Verwaltung nicht sicherheitssensibler Einstellungen? |
|---|---|---|
Registriert beim MDM per DEP | Ja | Ja |
Benutzereinwilligung zum MDM | Ja | Ja |
Keine Benutzereinwilligung zum MDM | Nein | Ja |
Mac beim MDM mit Benutzereinwilligung registrieren:
Wenn der Mac beim DEP registriert ist, wird dies bei der Registrierung beim MDM wie eine Registrierung mit Benutzereinwilligung behandelt.
Wenn der Mac vor der Aktualisierung auf macOS 10.13.4 beim MDM ohne Benutzereinwilligung registriert war, wird die Registrierung bei der Installation von macOS 10.13.4 auf eine Registrierung mit Benutzereinwilligung umgewandelt.
Du kannst auch ein Registrierungsprofil laden oder dir per E-Mail zusenden. Doppelklicke auf das Profil, und befolge dann die Anweisungen in den Systemeinstellungen, um dich beim MDM zu registrieren.
Eine automatische Registrierung oder der Versuch, ein Gerät per Bildschirmfreigabe aus der Ferne zu registrieren, führt nicht zu einer Registrierung mit Benutzereinwilligung.
Wenn der Mac in macOS 10.13.4 ohne Benutzereinwilligung beim MDM registriert war, erfolgt die Registrierung ohne Benutzereinwilligung. Zum Verwalten sicherheitssensibler Einstellungen kannst du deine Registrierung wie folgt genehmigen:
Wähle im Apple-Menü „Systemeinstellungen“, und klicken dann auf „Profile“.
Wähle dein Registrierungsprofil aus, das über dieses verfügt:
.Klicke rechts auf die Genehmigen-Taste, und befolge dann die Anweisungen auf dem Bildschirm.
User Approved Kernel Extension Loading mit MDM
Ab macOS 10.13.4 ist User Approved Kernel Extension Loading auf allen Geräten aktiviert, einschließlich Geräten, die beim MDM registriert sind. Verwende die Payload Kernel Extension Policy zu folgenden Zwecken:
Festlegen, welche Kernel-Erweiterungen ohne Benutzereinwilligung geladen werden sollen
Optional Benutzer daran hindern, zusätzliche Kernel-Erweiterungen zu genehmigen
User Approved Kernel Extension Loading ohne MDM
Wenn du das User Approved Kernel Extension Loading außerhalb von MDM verwalten möchtest, starte aus der macOS-Wiederherstellung, und verwende den Befehl spctl. Führe den Befehl für sich aus, um weitere Informationen zu seiner Verwendung zu erhalten.
Wenn du User Approved Kernel Extension Loading mithilfe des Befehls spctl verwaltest und NVRAM auf einem Mac zurücksetzt, wird dein Mac auf den Ausgangszustand zurückgesetzt und User Approved Kernel Extension Loading wird aktiviert. Du kannst ein Firmware-Passwort auf dem Mac festlegen, um nicht autorisierte Änderungen am NVRAM zu verhindern.
