Préparation aux modifications apportées aux extensions de noyau dans macOS High Sierra

Si vous êtes administrateur système, ces informations vous permettront de vous préparer aux modifications qui affecteront les extensions de noyau lors de la mise à jour de votre établissement vers macOS High Sierra.

Afin de renforcer la sécurité sur le Mac, l’utilisateur doit maintenant autoriser le chargement des extensions de noyau installées avec ou après macOS High Sierra. Cette fonctionnalité est connue sous le nom de chargement d’extensions de noyau approuvées par l’utilisateur (UAKEL). Tous les utilisateurs sont en mesure d’approuver une extension de noyau, même s’ils ne disposent pas de privilèges administrateur.

Les extensions de noyau suivantes ne nécessitent pas d’approbation :

  • Extensions qui étaient installées avant la mise à jour vers MacOS High Sierra
  • Extensions qui remplacent des extensions précédemment approuvées
  • Extensions qui sont autorisées à se charger sans consentement de l’utilisateur à l’aide de la commande spctl lors du démarrage à partir de la fonctionnalité de récupération de macOS
  • Extensions qui sont autorisées à se charger via la Kernel Extension Policy (Politique des extensions de noyau)

À partir de macOS 10.13.4, l’inscription à la MDM ne désactive plus le chargement des extensions de noyau approuvées par l’utilisateur, et les extensions précédemment autorisées à se charger pour cette raison nécessitent maintenant une approbation. Toutefois, vous pouvez utiliser la MDM pour spécifier les extensions de noyau qui se chargent sans approbation. Cela exige un Mac qui utilise macOS 10.13.2 ou une version ultérieure et est inscrit à la MDM via le programme DEP, ou dont l’inscription à la MDM est approuvée par l’utilisateur.

Inscription à la MDM approuvée par l’utilisateur

macOS High Sierra 10.13.2 a introduit le concept d’inscription à la MDM « approuvée par l’utilisateur ». Ce type d’inscription n’est requis que si vous souhaitez gérer certains réglages critiques de sécurité sur un Mac inscrit à la MDM par un autre biais que le programme DEP.

Vous pouvez déjà gérer vos réglages critiques de sécurité sur des appareils inscrits à la solution de gestion des appareils mobiles (MDM) par le biais du programme DEP ; il n’est donc pas nécessaire de passer par l’inscription approuvée par l’utilisateur pour ces derniers.

Vous pourrez toujours gérer vos réglages non critiques de sécurité pour les appareils dont l’inscription à la MDM n’a pas été approuvée par l’utilisateur.

Type
d’inscription
Peut gérer les
réglages critiques de sécurité ?
Peut gérer les
réglages non critiques de sécurité ?

Inscription à la MDM via le programme DEP

Oui

Oui

MDM approuvée par l’utilisateur

Oui Oui

MDM non approuvée par l’utilisateur

Non

Oui

Comment inscrire un Mac à la MDM approuvée par l’utilisateur :

  • Si un Mac est inscrit au programme DEP, son inscription à la MDM équivaut à une inscription approuvée par l’utilisateur.
  • Si un Mac a été inscrit à la MDM non approuvée par l’utilisateur avant d’être mis à jour vers macOS 10.13.4, son inscription est convertie en une inscription approuvée par l’utilisateur lors de l’installation de macOS 10.13.4.
  • Vous pouvez également télécharger ou vous envoyer par e-mail un profil d’inscription. Double-cliquez sur le profil, puis suivez les invites dans Préférences Système pour inscrire votre appareil à la MDM.

Lorsque vous vous servez de l’automatisation ou que vous essayez d’inscrire un appareil à distance par le biais du partage d’écran, l’inscription n’est pas considérée comme étant approuvée par l’utilisateur.

Si votre Mac a été inscrit à la MDM sans consentement de l’utilisateur dans macOS 10.13.4, son inscription ne sera pas approuvée par l’utilisateur. Pour gérer les réglages critiques de sécurité, vous pouvez approuver votre inscription :

  1. Choisissez le menu Pomme > Préférences Système, puis cliquez sur Profils.
  2. Sélectionnez votre profil d’inscription accompagné d’un badge : .
  3. Cliquez sur le bouton Approuver à droite, puis suivez les instructions à l’écran.

Fonctionnalité User Approved Kernel Extension Loading (Chargement d’extensions de noyau approuvées par l’utilisateur) avec MDM

À partir de macOS 10.13.4, la fonctionnalité UAKEL est activée sur tous les appareils, y compris ceux inscrits à la MDM. Utilisez la Kernel Extension Policy (Politique des extensions de noyau) pour :

  • Préciser les extensions de noyau qui peuvent se charger sans consentement de l’utilisateur.
  • Empêcher éventuellement les utilisateurs d’approuver des extensions de noyau supplémentaires.

Fonctionnalité User Approved Kernel Extension Loading (Chargement d’extensions de noyau approuvées par l’utilisateur) sans MDM

Pour gérer la fonctionnalité UAKEL en dehors de la MDM, démarrez à partir de la fonctionnalité de récupération de macOS et utilisez la commande spctl. Exécutez la commande de manière autonome pour en savoir plus sur son utilisation.

Si vous gérez la fonctionnalité UAKEL à l’aide de la commande spctl et que vous réinitialisez la mémoire NVRAM, votre Mac reviendra à son état par défaut et la fonctionnalité UAKEL sera activée. Vous pouvez définir un mot de passe de programme interne sur votre Mac afin d’éviter toute modification non autorisée sur la mémoire NVRAM.

Date de publication: