Préparation aux modifications apportées aux extensions de noyau dans macOS High Sierra

Si vous êtes administrateur système, ces informations vous permettront de vous préparer aux modifications apportées aux extensions de noyau lors de la mise à niveau de votre entreprise ou de votre établissement d’enseignement vers macOS High Sierra.

Afin de renforcer la sécurité sur le Mac, l’utilisateur doit maintenant autoriser le chargement des extensions de noyau installées avec ou après macOS High Sierra. Cette fonctionnalité est connue sous le nom de chargement d’extensions de noyau approuvées par l’utilisateur (UAKEL). Tous les utilisateurs sont en mesure d’approuver une extension de noyau, même s’ils ne disposent pas de privilèges administrateur.

Les extensions de noyau ne nécessitent pas d’autorisation dans les cas suivants :

  • Elles ont été installées sur le Mac avant la mise à niveau vers macOS High Sierra.
  • Elles remplacent des extensions approuvées précédemment.
  • Elles sont autorisées à se charger sans l’accord de l’utilisateur à l’aide de la commande spctl lors du démarrage, à partir de la fonctionnalité de récupération de macOS.
  • Elles sont installées sur un Mac inscrit à la solution de gestion des appareils mobiles (MDM). À l’heure actuelle, lorsqu’un appareil est inscrit à la MDM, la fonctionnalité UAKEL est automatiquement désactivée. Ce comportement changera au printemps 2018.
  • Elles sont autorisées à se charger par le biais de la configuration de la MDM. Sous macOS High Sierra 10.13.2 et les versions ultérieures, vous pouvez utiliser la MDM pour définir une liste des extensions de noyau chargées sans l’accord de l’utilisateur. Cette option nécessite l’utilisation d’un Mac doté de macOS High Sierra 10.13.2 et inscrit à la MDM via le programme d’inscription des appareils (DEP) ou dont l’inscription à la MDM est approuvée par l’utilisateur.

Inscription à la MDM approuvée par l’utilisateur

macOS High Sierra 10.13.2 introduit le concept d’inscription à la MDM « approuvée par l’utilisateur ». Ce nouveau type d’inscription n’est requis que si vous souhaitez gérer certains réglages critiques de sécurité sur un Mac inscrit à la MDM par un autre biais que le programme DEP.

Vous pouvez d’ores et déjà gérer vos réglages critiques de sécurité sur des appareils inscrits à la solution de gestion des appareils mobiles (MDM) par le biais du programme DEP, il n’est donc pas nécessaire de passer par l’inscription approuvée par l’utilisateur pour ces derniers.

À l’heure actuelle, seule l’entité Kernel Extension Policy (Politique des extensions de noyau) requiert une inscription à la MDM approuvée par l’utilisateur ou réalisée via le programme DEP. Cependant, il se peut que les nouvelles entités de configurations intégrées aux prochaines versions de macOS nécessitent également une inscription approuvée par l’utilisateur ou réalisée via le programme DEP.

Vous pourrez toujours gérer vos réglages non critiques de sécurité sur des appareils dont l’inscription à la MDM n’a pas été approuvée par l’utilisateur.

    Peut gérer des réglages critiques sur le plan de la sécurité Peut gérer des réglages non critiques sur le plan de la sécurité

Inscription à la MDM via le programme DEP

Oui

Oui

MDM approuvée par l’utilisateur

Oui Oui

MDM non approuvée par l’utilisateur

Non

Oui

Vous pouvez inscrire un Mac à la MDM approuvée par l’utilisateur des façons suivantes :

  • Si un Mac est inscrit au programme DEP, son inscription à la MDM équivaut à une inscription approuvée par l’utilisateur.
  • Si un Mac a été inscrit à la MDM (inscription non approuvée par l’utilisateur) avant que son logiciel ne soit mis à niveau vers macOS High Sierra 10.13.2, son inscription est convertie en « Approuvée par l’utilisateur » lors de la mise à niveau.
  • Téléchargez ou envoyez-vous par e-mail le profil d’inscription et cliquez deux fois dessus. Suivez ensuite les invites dans Préférences Système pour inscrire votre appareil à la MDM.

Lorsque vous vous servez de l’automatisation ou que vous essayez d’inscrire un appareil à distance par le biais du partage d’écran, l’inscription n’est pas considérée comme étant approuvée par l’utilisateur.

Si votre Mac a été inscrit à la MDM sans que l’inscription n’ait été approuvée par l’utilisateur, vous pouvez approuver votre inscription existante pour gérer vos réglages critiques de sécurité. Ouvrez Préférences Système > Profils, puis recherchez le profil d’inscription doté d’un badge : .

Sélectionnez votre profil d’inscription, cliquez sur le bouton Approuver situé à droite, puis suivez les invites.

Gérer les extensions de noyau approuvées par l’utilisateur qui sont chargées avec la MDM

Si votre Mac est doté de macOS High Sierra et inscrit à la MDM, la fonctionnalité UAKEL est actuellement désactivée. Toutes les extensions de noyau seront chargées sans que l’accord de l’utilisateur ne soit nécessaire. Servez-vous de l’entité Kernel Extension Policy (Politique des extensions de noyau) pour indiquer quelles extensions de noyau doivent être chargées sans l’accord de l’utilisateur et pour éventuellement empêcher les utilisateurs d’approuver des extensions supplémentaires.

Au printemps 2018, grâce à une mise à jour apportée à macOS, la fonctionnalité UAKEL sera activée même sur les appareils inscrits à la solution MDM. Vous pourrez continuer d’utiliser la Kernel Extension Policy (Politique des extensions de noyau) pour gérer la fonctionnalité User Approved Kernel Extension Loading (Chargement d’extensions de noyau approuvées par l’utilisateur) suite à cette modification.

Gérer les extensions de noyau approuvées par l’utilisateur qui sont chargées sans la MDM

Pour gérer la fonctionnalité UAKEL en dehors de la MDM, démarrez à partir de la fonctionnalité de récupération de macOS et utilisez la commande spctl. Exécutez la commande de manière autonome pour en savoir plus sur son utilisation.

Si vous gérez la fonctionnalité UAKEL à l’aide de la commande spctl et que vous réinitialisez la mémoire NVRAM, votre Mac reviendra à son état par défaut et la fonctionnalité UAKEL sera activée. Vous pouvez définir un mot de passe de programme interne sur votre Mac afin d’éviter toute modification non autorisée sur la mémoire NVRAM.

Date de publication :