Préparation aux modifications apportées aux extensions de noyau sous macOS High Sierra
Si vous êtes administrateur système, ces informations vous permettront de vous préparer aux modifications qui affecteront les extensions de noyau lors de la mise à jour de votre établissement vers macOS High Sierra.
Afin de renforcer la sécurité sur le Mac, l’utilisateur doit maintenant autoriser le chargement des extensions de noyau installées avec ou après macOS High Sierra. Cette fonctionnalité est connue sous le nom de chargement d’extensions de noyau approuvées par l’utilisateur (UAKEL). Tous les utilisateurs sont en mesure d’approuver une extension de noyau, même s’ils ne disposent pas de privilèges administrateur.
Les extensions de noyau suivantes ne nécessitent pas d’approbation :
Extensions qui étaient installées avant la mise à jour vers macOS High Sierra
Extensions qui remplacent des extensions précédemment approuvées
Extensions qui sont autorisées à se charger sans consentement de l’utilisateur à l’aide de la commande
spctl
Extensions qui sont autorisées à se charger via la Kernel Extension Policy (Politique des extensions de noyau)
À partir de macOS 10.13.4, l’inscription à une solution MDM ne désactive plus le chargement des extensions de noyau approuvées par l’utilisateur, et les extensions précédemment autorisées à se charger pour cette raison nécessitent maintenant une approbation. Toutefois, vous pouvez utiliser votre solution MDM pour spécifier les extensions de noyau qui se chargent sans approbation. Cette opération nécessite un Mac doté de macOS 10.13.2 ou version ultérieure et inscrit à la solution MDM par l’intermédiaire du programme DEP, ou dont l’inscription à la solution MDM est approuvée par l’utilisateur.
Inscription à la MDM approuvée par l’utilisateur
macOS High Sierra 10.13.2 a introduit le concept d’inscription à une solution MDM « approuvée par l’utilisateur ». Ce type d’inscription n’est requis que si vous souhaitez gérer certains réglages critiques de sécurité sur un Mac inscrit à la solution MDM par un autre biais que le programme DEP.
Vous pouvez déjà gérer vos réglages critiques de sécurité sur les appareils inscrits à la solution MDM par le biais du programme DEP ; il n’est donc pas nécessaire de passer par l’inscription approuvée par l’utilisateur pour ces derniers.
Vous pourrez toujours gérer vos réglages non critiques de sécurité pour les appareils dont l’inscription à la solution MDM n’a pas été approuvée par l’utilisateur.
Type d’inscription | Peut gérer les réglages de sécurité critiques ? | Peut gérer les réglages de sécurité non critiques ? |
---|---|---|
Inscription à la MDM via le programme DEP | Oui | Oui |
MDM approuvée par l’utilisateur | Oui | Oui |
MDM non approuvée par l’utilisateur | Non | Oui |
Comment inscrire un Mac à une solution MDM approuvée par l’utilisateur :
Si un Mac est inscrit au programme DEP, son inscription à la MDM équivaut à une inscription approuvée par l’utilisateur.
Si un Mac a été inscrit à une solution MDM non approuvée par l’utilisateur avant d’être mis à jour vers macOS 10.13.4, son inscription est convertie en une inscription approuvée par l’utilisateur lors de l’installation de macOS 10.13.4.
Vous pouvez également télécharger ou vous envoyer par e-mail un profil d’inscription. Double-cliquez sur le profil, puis suivez les invites dans Préférences Système pour inscrire votre appareil à la solution MDM.
Lorsque vous vous servez de l’automatisation ou que vous essayez d’inscrire un appareil à distance par le biais du partage d’écran, l’inscription n’est pas considérée comme étant approuvée par l’utilisateur.
Si votre Mac a été inscrit à une solution MDM sans approbation par l’utilisateur sous macOS 10.13.4, son inscription ne sera pas considérée comme Approuvée par l’utilisateur. Pour gérer les réglages critiques de sécurité, vous pouvez approuver votre inscription :
Choisissez le menu Pomme > Préférences Système, puis cliquez sur Profils.
Sélectionnez le profil d’inscription qui est accompagné d’un
.Cliquez sur le bouton Approuver à droite, puis suivez les instructions à l’écran.
Fonctionnalité User Approved Kernel Extension Loading (Chargement d’extensions de noyau approuvées par l’utilisateur) avec une solution MDM
À partir de macOS 10.13.4, la fonctionnalité User Approved Kernel Extension Loading est activée sur tous les appareils, y compris ceux inscrits à une solution MDM. Utilisez les données utiles Kernel Extension Policy (Politique des extensions de noyau) pour :
Préciser les extensions de noyau qui peuvent se charger sans consentement de l’utilisateur
Empêcher éventuellement les utilisateurs d’approuver des extensions de noyau supplémentaires
Fonctionnalité User Approved Kernel Extension Loading (Chargement d’extensions de noyau approuvées par l’utilisateur) sans solution MDM
Pour gérer la fonctionnalité User Approved Kernel Extension Loading en dehors d’une solution MDM, démarrez à partir de la fonctionnalité de récupération de macOS et utilisez la commande spctl
. Exécutez la commande de manière autonome pour en savoir plus sur son utilisation.
Si vous gérez la fonctionnalité UAKEL à l’aide de la commande spctl
et que vous réinitialisez la mémoire NVRAM, votre Mac reviendra à son état par défaut et la fonctionnalité UAKEL sera activée. Vous pouvez définir un mot de passe de programme interne sur votre Mac afin d’empêcher toute modification non autorisée de la mémoire NVRAM.