ניהול ארגוני של הרחבות מערכת מדור קודם ב-macOS Big Sur

למדו כיצד מנהלי מערכת יכולים לנהל את ההתקנה של הרחבות מערכת או הרחבות ליבה (kext) מדור קודם ב-macOS Big Sur.

מאמר זה מיועד למנהלי מערכת בעסקים ובארגוני חינוך.

אודות הרחבות מערכת ב-macOS

הרחבות מערכת ב-macOS Catalina 10.15‏ ואילך מאפשרות לתוכנות כמו הרחבות רשת ופתרונות אבטחה של נקודות קצה להרחיב את הפונקציונליות של macOS ללא צורך בגישה ברמת הליבה. למדו כיצד להתקין ולנהל הרחבות מערכת בשטח המיועד למשתמש במקום בליבה. 

הרחבות מערכת מדור קודם, הידועות גם בשם הרחבות ליבה או ktext, פועלות במצב הרשאה גבוהה של המערכת. החל מ-macOS High Sierra 10.13‏, הרחבת ליבה צריכה לקבל אישור מחשבון מנהל מערכת או מפרופיל 'ניהול מכשירים ניידים' (MDM) לפני שאפשר לטעון אותה.

macOS Big Sur 11.0‏ ואילך מאפשרת ניהול של הרחבות מערכת מדור קודם הן עבור מחשבי Mac מבוססי Intel והן עבור מחשבי Mac עם Apple silicon.

איך לנהל הרחבות מערכת מדור קודם

הרחבות ליבה שמשתמשות בממשקי תכנות ליבה (KPI) שהוצאו משימוש ואינם נתמכים עוד, כבר לא נטענות כברירת מחדל. אפשר להשתמש ב-MDM לשינוי מדיניות ברירת המחדל כדי לא להציג תיבות דו-שיח מעת לעת ולאפשר את טעינת הרחבות הליבה. עבור מחשבי Mac עם Apple silicon‏, יש לשנות תחילה את מדיניות האבטחה.

כדי להתקין הרחבת ליבה חדשה או מעודכנת ב-macOS Big Sur, אפשר לבצע אחת מהפעולות הבאות:

  • הורו למשתמש לפעול לפי ההנחיות שבתוך העדפות 'אבטחה ופרטיות' כדי לאפשר את ההרחבה, ואז להפעיל מחדש את ה-Mac. אתם יכולים להרשות למשתמשים שאינם מנהלי מערכת לאפשר את ההרחבה באמצעות שימוש במפתח AllowNonAdminUserApprovals שבמטען ה-MDM‏ של המדיניות להרחבות ליבה.
  • שלחו את פקודת ה-MDM‏ RestartDevice והגדירו את ה-RebuildKernelCachekey כ-True.

בכל פעם שמשתנה קבוצת הרחבות הליבה המאושרות, בין אם לאחר האישור הראשוני או לאחר עדכון גרסה, נדרשת הפעלה מחדש.

דרישות נוספות עבור מחשבי Mac עם Apple silicon

למחשבי Mac עם Apple silicon נדרשות הרחבות ליבה עם קומפילציה של ארכיטקטורת arm64e.

כדי שתוכלו להתקין הרחבת ליבה במחשב Mac עם Apple silicon, צריך תחילה לשנות את מדיניות האבטחה באחת מהדרכים הבאות: 

  • אם יש לכם מכשירים שרשומים ל-MDM‏ עם Automated Device Enrollment (הרשמת מכשירים אוטומטית), ניתן לאשר באופן אוטומטי ניהול מרחוק של הרחבות ליבה ולשנות את מדיניות האבטחה.*
  • אם יש לכם מכשירים רשומים ל-MDM באמצעות הרשמת מכשירים, מנהל מערכת מקומי יכול לשנות את מדיניות האבטחה באופן ידני ב-macOS Recovery‏ ולאשר ניהול מרחוק של הרחבות ליבה ועדכוני תוכנה. בנוסף, מנהל מערכת MDM יכול להמליץ למנהל המערכת המקומי לבצע שינוי זה על ידי הגדרת PromptUserToAllowBootstrapTokenForAuthentication שב-MDMOptions או על ידי הגדרת אותו מפתח בפרופיל ה-MDM.*
  • אם יש לכם מכשירים שאינם מכשירי MDM או מכשירים שרשומים ל-MDM באמצעות הרשמת משתמש, מנהל מערכת מקומי יכול לשנות את מדיניות האבטחה באופן ידני ב-macOS Recovery‏ ולאשר ניהול משתמש של הרחבות ליבה ועדכוני תוכנה.

* ה-MDM חייב גם להיות בעל יכולת תמיכה ב-Bootstrap Token. בנוסף, הלקוח חייב לשלוח את ה-Bootstrap Token לשרת ה-MDM לפני שה-MDM מנסה לבצע פעולה המחייבת שימוש ב-Bootstrap Token.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: