Administración empresarial de extensiones de sistemas antiguas en macOS Big Sur

Obtén información sobre cómo los administradores de sistemas pueden gestionar la instalación de extensiones del sistema o de kernel antiguas (kexts) en macOS Big Sur.

Acerca de las extensiones del sistema en macOS

Las extensiones del sistema en macOS Catalina 10.15 y posteriores permiten que algunos software, como las extensiones de red y las soluciones de seguridad de puntos de conexión, amplíen la funcionalidad de macOS sin que sea necesario el acceso al kernel. Obtén información sobre cómo instalar y administrar extensiones del sistema desde el espacio del usuario en lugar del kernel.

Las extensiones del sistema antiguas, también conocidas como extensiones de kernel o kexts, se ejecutan en un modo altamente privilegiado del sistema. A partir de macOS High Sierra 10.13, las extensiones de kernel deben tener la aprobación de una cuenta de administrador o de un perfil de Administración de dispositivos móviles (MDM) antes de poder cargarse.

macOS Big Sur 11.0 y posterior permite administrar las extensiones del sistema antiguas en las Mac con procesador Intel y las Mac con Apple Silicon.

Cómo administrar las extensiones del sistema antiguas

Las extensiones de kernel que usan KPI obsoletas y no compatibles ya no se cargan de manera predeterminada. A través de la MDM, puedes modificar las políticas predeterminadas para que no se muestren cuadros de diálogo con frecuencia y permitir que se carguen las extensiones de kernel. En las Mac con Apple Silicon, primero debes modificar la política de seguridad.

Para instalar una extensión de kernel nueva o actualizada en macOS Big Sur, puedes realizar una de estas acciones:

• Indicarle al usuario que siga las instrucciones que aparecen dentro de las preferencias de Seguridad y privacidad para permitir la extensión y que, luego, reinicie la Mac. Puedes permitir que los usuarios que no son administradores aprueben la extensión usando la clave AllowNonAdminUserApprovals en la carga útil de MDM para las políticas de extensiones de kernel.

• Envía el comando de MDM RestartDevice y establece RebuildKernelCachekey en True.

Cada vez que se modifica el conjunto de extensiones de kernel aprobadas, ya sea después de la aprobación inicial o si se actualiza la versión, es necesario reiniciar la computadora.

Requisitos adicionales para computadoras Mac con Apple Silicon

Antes de que puedas instalar una extensión de kernel en una Mac con Apple Silicon, se debe modificar la política de seguridad de una de estas maneras:

• Si tienes dispositivos inscritos en MDM con la inscripción automática de dispositivos, puedes autorizar automáticamente la administración remota de las extensiones de kernel y cambiar la política de seguridad.*

• Si tienes dispositivos inscritos en MDM con la inscripción de dispositivos, un administrador local puede cambiar la política de seguridad de forma manual desde la Recuperación de macOS y autorizar la administración remota de las extensiones de kernel y las actualizaciones de software. Además, un administrador de MDM puede aconsejar al administrador local que haga este cambio. Para ello, se debe configurar PromptUserToAllowBootstrapTokenForAuthentication en las opciones de MDM o establecer la misma clave en el perfil de MDM.*

• Si tienes dispositivos que no están inscritos en MDM o que se inscribieron mediante la inscripción de usuarios, un administrador local puede cambiar la política de seguridad de forma manual desde la Recuperación de macOS, y autorizar que los usuarios puedan administrar las extensiones de kernel y las actualizaciones de software.