Gestion en entreprise d’anciennes extensions système dans macOS Big Sur

Apprenez comment, en tant qu’administrateur système, à gérer l’installation d’anciennes extensions système ou de noyau dans macOS Big Sur.

Cet article est destiné aux administrateurs système d’entreprises et d’établissements d’enseignement.

À propos des extensions système dans macOS

Les extensions système dans macOS Catalina 10.15 et les versions ultérieures permettent à des logiciels, comme des extensions réseau et des solutions de sécurité des terminaux, d’étendre les fonctionnalités de macOS sans nécessiter l’accès au niveau du noyau. Apprenez comment installer et gérer des extensions système dans l’espace utilisateur plutôt que dans le noyau. 

Les anciennes extensions système, aussi appelées extensions de noyau, fonctionnent dans un mode hautement privilégié du système. Dans macOS High Sierra 10.13 et les versions ultérieures, une extension de noyau doit être approuvée par un compte administrateur ou un profil de gestion des appareils mobiles (GAM) avant qu’elle puisse être chargée.

macOS Big Sur 11.0 et les versions ultérieures permettent de faire la gestion d’anciennes extensions système pour les ordinateurs Mac équipés de processeurs Intel et les ordinateurs Mac dotés de la puce Apple.

Comment gérer les anciennes extensions système

Les extensions de noyau utilisant des interfaces de programmation de noyau obsolètes et qui ne sont plus prises en charge ne sont plus chargées par défaut. Vous pouvez vous servir de la GAM pour changer les politiques par défaut afin de ne plus afficher périodiquement de fenêtres de dialogue et de permettre le chargement des extensions de noyau. Pour les ordinateurs Mac dotés de la puce Apple, vous devez d’abord changer la politique de sécurité.

Pour installer une extension de noyau mise à jour ou nouvelle dans macOS Big Sur, vous pouvez faire l’une des choses suivantes :

  • Donner comme instruction à l’utilisateur de suivre les messages-guides dans les préférences Sécurité et confidentialité pour autoriser l’extension, puis de redémarrer son Mac. Vous pouvez autoriser les utilisateurs qui ne sont pas des administrateurs à autoriser l'extension à l'aide de la clé AllowNonAdminUserApprovals dans les données utiles GAMPolitique d'extension du noyau.
  • Envoyez la commande GAM RestartDevice et définissez RebuildKernelCachekey sur « Vrai ».

Chaque fois que l’ensemble d’extensions de noyau approuvées change, soit après l’approbation initiale, soit après une mise à jour de version, un redémarrage est requis.

Exigences supplémentaires pour les ordinateurs Mac dotés de la puce Apple

Les ordinateurs Mac dotés de la puce Apple requièrent des extensions de noyau compilées à l’aide d’une tranche arm64e.

Avant que vous ne puissiez installer une extension de noyau sur un ordinateur Mac doté de la puce Apple, la politique de sécurité doit être changée de l’une des façons suivantes : 

  • Si vous avez des appareils enregistrés dans une solution de GAM avec inscription automatisée des appareils, vous pouvez autoriser automatiquement la gestion à distance des extensions de noyau et changer la politique de sécurité.*
  • Si vous avez des appareils inscrits dans GAM avec inscription d'appareil, un administrateur local peut modifier la politique de sécurité manuellement dans macOS Recovery et autoriser la gestion à distance des extensions du noyau et des mises à jour logicielles. De plus, un administrateur de GAM peut recommander à l’administrateur local de faire ce changement en réglant PromptUserToAllowBootstrapTokenForAuthentication dans MDMOptions (options de GAM) ou en configurant la même clé dans le profil de GAM.*
  • Si vous avez des appareils non-GAM ou des appareils inscrits à GAM avec Inscription, un administrateur local peut modifier la politique de sécurité manuellement dans macOS Recovery et autoriser la gestion par les utilisateurs des extensions du noyau et des mises à jour logicielles.

* La solution de GAM doit également être en mesure de prendre en charge un jeton d’amorçage. En outre, le client doit envoyer le jeton d'amorçage au serveur GAM avant que la GAM n’essaie d’effectuer une opération qui nécessite le jeton d'amorçage.

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: