Gérer des extensions système obsolètes au niveau de l’entreprise dans macOS Big Sur

Découvrez comment les administrateurs système peuvent gérer l’installation d’extensions système ou d’extensions de noyau (kext) obsolètes dans macOS Big Sur.

Cet article est destiné aux administrateurs système d’entreprises et d’établissements d’enseignement.

À propos des extensions système dans macOS

Les extensions système sur macOS Catalina 10.15 et versions ultérieures permettent aux logiciels, tels que les extensions réseau et les solutions de sécurité des points de terminaison, d’étendre les fonctionnalités de macOS sans nécessiter un accès au niveau du noyau. Découvrez la marche à suivre pour installer et gérer les extensions système dans l’espace utilisateur plutôt que dans le noyau. 

Les extensions système obsolètes, également appelées extensions de noyau ou kext, s’exécutent dans un mode hautement privilégié du système. À partir de macOS High Sierra 10.13, une extension de noyau doit être approuvée par un compte administrateur ou un profil de gestion des appareils mobiles (MDM) avant de pouvoir se charger.

macOS Big Sur 11.0 et les versions ultérieures permettent la gestion des extensions système obsolètes pour les ordinateurs Mac à processeur Intel et les ordinateurs Mac avec puce Apple.

Comment gérer les extensions système obsolètes

Les extensions de noyau ayant recours à des indicateurs clés de performances (KPI) qui ont été abandonnés et ne sont plus pris en charge ne se chargent plus par défaut. Vous pouvez utiliser une solution de gestion des appareils mobiles (MDM) pour modifier les politiques par défaut de façon à ne pas afficher les boîtes de dialogue périodiques et à permettre le chargement des extensions de noyau. Pour les ordinateurs Mac avec puce Apple, vous devez tout d’abord modifier la politique de sécurité.

Pour installer une nouvelle extension de noyau ou une extension mise à jour dans macOS Big Sur, procédez de l’une des façons suivantes :

  • Demandez à l’utilisateur de suivre les invites de la sous-fenêtre Sécurité et confidentialité des Préférences Système pour autoriser l’extension, puis de redémarrer son Mac. Vous pouvez demander aux utilisateurs qui ne sont pas des administrateurs d’autoriser l’extension à l’aide de la clé AllowNonAdminUserApprovals dans l’entité MDM Politique d’extension de noyau.
  • Envoyez la commande MDM RestartDevice et définissez le paramètre RebuildKernelCachekey sur True.

Un redémarrage est nécessaire chaque fois que l’ensemble des extensions de noyau approuvées change, soit après l’approbation initiale soit si la version est mise à jour.

Exigences supplémentaires pour les ordinateurs Mac avec puce Apple

Les ordinateurs Mac avec puce Apple nécessitent la compilation des extensions de noyau avec une tranche arm64e.

Avant de pouvoir installer une extension de noyau sur un ordinateur Mac avec puce Apple, vous devez modifier la politique de sécurité de l’une des façons suivantes : 

  • Si vous avez enregistré des appareils auprès d’une solution de gestion des appareils mobiles (MDM) avec l’option Inscription automatisée des appareils, vous pouvez autoriser automatiquement la gestion à distance des extensions de noyau et modifier la politique de sécurité.*
  • Si vous avez enregistré des appareils auprès d’une solution de gestion des appareils mobiles (MDM) avec l’option Inscription d’appareils, un administrateur local peut modifier la politique de sécurité manuellement via la fonctionnalité de récupération de macOS, et autoriser la gestion à distance des extensions de noyau et des mises à jour logicielles. En outre, un administrateur MDM peut conseiller à l’administrateur local d’effectuer cette modification en définissant le paramètre PromptUserToAllowBootstrapTokenForAuthentication dans les MDMOptions ou en sélectionnant la même clé dans le profil MDM*.
  • Si vous possédez des appareils hors MDM ou que vous avez enregistré des appareils auprès d’une solution de gestion des appareils mobiles avec l’option Inscription d’utilisateurs, un administrateur local peut modifier la politique de sécurité manuellement via la fonctionnalité de récupération de macOS, et autoriser la gestion par les utilisateurs des extensions de noyau et des mises à jour logicielles.

* La solution MDM doit également être en mesure de prendre en charge un jeton d’amorçage (Bootstrap). En outre, le client doit l’envoyer au serveur MDM avant que celui-ci ne tente d’effectuer une opération nécessitant ce jeton d’amorçage.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: