Verwaltung älterer Systemerweiterungen für Unternehmen in macOS Big Sur

Hier erfährst du, wie Systemadministratoren die Installation älterer System- oder Kernel-Erweiterungen (kexts) in macOS Big Sur verwalten.

Dieser Artikel ist für Systemadministratoren in Unternehmen und Bildungseinrichtungen bestimmt.

Informationen über Systemerweiterungen in macOS

Systemerweiterungen unter macOS Catalina 10.15 und neuer ermöglichen es Software wie Netzwerkerweiterungen und Endpunktsicherheitslösungen, die Funktionalität von macOS zu erweitern, ohne dafür Zugriff auf die Kernel-Ebene zu benötigen. Hier erfährst du, wie du Systemerweiterungen im Benutzerraum installierst und verwaltest, ohne die Kernel-Ebene zu verwenden. 

Veraltete Systemerweiterungen (auch bekannt als Kernel-Erweiterungen oder kexts) werden in einem stark geschützten Modus des Systems ausgeführt. Ab macOS High Sierra 10.13 muss eine Kernel-Erweiterung von einem Administratoraccount oder einem MDM-Profil (Mobilgeräteverwaltung) genehmigt werden, bevor sie geladen werden kann.

macOS Big Sur 11.0 und neuer ermöglicht die Verwaltung veralteter Systemerweiterungen sowohl für Intel-basierte Mac-Computer als auch für Mac-Computer mit Apple-Chip.

So verwaltest du veraltete Systemerweiterungen

Kernel-Erweiterungen, welche veraltete und nicht länger unterstützte KPIs verwenden, werden nicht mehr standardmäßig geladen. Du kannst MDM verwenden, um die Standardrichtlinien so zu ändern, dass Dialoge nicht regelmäßig angezeigt werden und die Kernel-Erweiterungen geladen werden können. Bei Mac-Computern mit Apple-Chip musst du zuvor die Sicherheitsrichtlinien ändern.

Folgende Methoden stehen dir zur Verfügung, um neue oder aktualisierte Kernel-Erweiterungen in macOS Big Sur zu installieren:

  • Bitte den Benutzer, den Anweisungen in der Systemeinstellung "Sicherheit" zu folgen, um die Erweiterung zuzulassen und den Mac dann neu zu starten. Du kannst Benutzern, die keine Administratoren sind, gestatten, die Erweiterung mithilfe des Schlüssels AllowNonAdminUserApprovals in der MDM-Payload der Richtlinie für Kernel-Erweiterungen zuzulassen.
  • Sende den MDM-Befehl RestartDevice, und stelle RebuildKernelCachekey auf "True" ein.

Nach jeder Änderung der genehmigten Kernel-Erweiterungen, entweder nach der ersten Genehmigung oder wenn die Version aktualisiert wurde, ist ein Neustart erforderlich.

Weitere Voraussetzungen für Mac-Computer mit Apple-Chip

Mac-Computer mit Apple-Chip erfordern Kernel-Erweiterungen, die mit einem arm64e-Slice erstellt werden.

Bevor du eine Kernel-Erweiterung auf einem Mac-Computer mit Apple-Chip installieren kannst, musst du die Sicherheitsrichtlinien mit einer der folgenden Methoden ändern: 

  • Wenn deine Geräte mit der automatischen Geräteregistrierung bei einer MDM-Lösung registriert wurden, kannst du die entfernte Verwaltung von Kernel-Erweiterungen automatisch autorisieren und die Sicherheitsrichtlinien ändern.*
  • Wenn deine Geräte mit der Geräteregistrierung bei einer MDM-Lösung registriert wurden, können lokale Administratoren die Sicherheitsrichtlinien manuell in der macOS-Wiederherstellung ändern und die entfernte Verwaltung von Kernel-Erweiterungen sowie Softwareupdates autorisieren. Außerdem können MDM-Administratoren lokale Administratoren anweisen, diese Änderung durch Auswahl von PromptUserToAllowBootstrapTokenForAuthentication in "MDMOptions" oder Setzen des gleichen Schlüssels im MDM-Profil vorzunehmen.*
  • Für Geräte ohne MDM oder Geräte, die mittels Benutzerregistrierung in der MDM-Lösung registriert wurden, können lokale Administratoren die Sicherheitsrichtlinien manuell in der macOS-Wiederherstellung ändern und die Benutzerverwaltung von Kernel-Erweiterungen sowie Softwareupdates autorisieren.

* Das MDM muss auch ein Bootstrap-Token unterstützen. Darüber hinaus muss der Client das Bootstrap-Token an den MDM-Server senden, bevor das MDM versucht, einen Vorgang auszuführen, für den das Bootstrap-Token erforderlich ist.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: