Régi rendszerek bővítményeinek nagyvállalati célú kezelése a macOS Big Sur rendszerben

Ismerje meg, hogyan kezelhetik a rendszergazdák a régi rendszerek és a kernelbővítmények (kextek) telepítését a macOS Big Sur rendszerben.

Ez a cikk vállalkozásoknál és oktatási intézményeknél dolgozó rendszergazdáknak szól.

Rendszerbővítmények a macOS-ben

A macOS Catalina 10.15 és az újabb verziók lehetővé teszik, hogy bizonyos szoftverek, például rendszerbővítmények és végpontbiztonsági megoldások kernelszintű hozzáférés nélkül is kiegészítsék a macOS funkciókészletét. Tanulja meg, hogyan telepíthet és kezelhet rendszerbővítményeket a felhasználói területen a kernel helyett. 

A régi rendszerbővítmények, más néven kernelbővítmények vagy kextek a rendszer magas jogosultsági szintű módjában futnak. A macOS High Sierra 10.13-as verziótól kezdve a kernelbővítmények csak akkor töltődhetnek be, ha a rendszergazdafiók vagy a mobileszköz-felügyeleti (MDM) profil jóváhagyja őket.

A macOS Big Sur 11.0-es és újabb verziók az Intel-alapú és az Apple által gyártott szilíciumchippel felszerelt Macek esetében egyaránt lehetővé teszik a régi rendszerbővítmények kezelését.

A régi rendszerbővítmények kezelése

Az elavult, már nem támogatott KPI-ket használó kernelbővítmények már nem töltődnek be automatikusan. Az MDM segítségével módosíthatja az alapértelmezett szabályokat, és beállíthatja, hogy ne jelenjen meg rendszeresen a párbeszédpanel, és a kernelbővítmények betölthessenek. Az Apple szilíciumchippel felszerelt Mac számítógépeknél először módosítani kell a biztonsági szabályzatot.

Ha a macOS Big Surben új vagy frissített kernelbővítményt szeretne telepíteni, tegye az alábbiak egyikét:

  • Kérje meg a felhasználót, hogy kövesse a Biztonság és adatvédelem alatt megjelenő utasításokat, és engedélyezze a bővítményt, majd indítsa újra a Macet. Az AllowNonAdminUserApprovals kulccsal (amely a Kernelbővítmény-irányelv MDM-csomagban érhető el) beállíthatja, hogy a nem rendszergazdai felhasználók is engedélyezhessék a bővítményt.
  • Küldje el a RestartDevice MDM-parancsot, majd állítsa Igaz értékre a RebuildKernelCachekey paramétert.

Újraindítás szükséges, ha módosul a jóváhagyott kernelbővítmények csoportja, akár az első jóváhagyást követően, akár a verzió frissítése után.

További követelmények az Apple szilíciumchippel rendelkező Mac gépek esetében

Az Apple szilíciumchippel rendelkező Mac gépeknél a kernelbővítményeket egy arm64e szelettel kell kompilálni.

Mielőtt telepíti a kernelbővítményt az Apple szilíciumchippel rendelkező Macre, módosítsa a biztonsági szabályzatot a következő módszerek egyikével: 

  • Ha az Automatikus eszközregisztráció funkcióval eszközöket regisztrált az MDM-be, automatikusan engedélyezheti a kernelbővítmények távoli kezelését, valamint módosíthatja a biztonsági szabályzatot.*
  • Ha az Eszközregisztráció segítségével regisztrálta az eszközöket az MDM-be, a helyi rendszergazdák egyike manuálisan módosíthatja a biztonsági szabályzatot a macOS Visszaállítás segítségével, és engedélyezheti a kernelbővítmények és a szoftverfrissítések távoli kezelését. Emellett az MDM-rendszergazda az MDMOptions alatt vagy az MDM-profilban a PromptUserToAllowBootstrapTokenForAuthentication kulcs beállításával megkérheti a helyi rendszergazdát, hogy végezze el a módosítást.*
  • Ha az Eszközregisztráció segítségével regisztrálta az eszközöket az MDM-be, vagy MDM-be nem regisztrált eszközöket használ, a helyi rendszergazdák egyike manuálisan módosíthatja a biztonsági szabályzatot a macOS Visszaállítás segítségével, valamint engedélyezheti a kernelbővítmények és a szoftverfrissítések felhasználói kezelését.

*Az MDM-nek emellett támogatnia kell a rendszerindítási tokent. Ezenfelül az ügyfélnek még azelőtt el kell küldenie a rendszerindítási tokent az MDM-szerverre, hogy az MDM megpróbál olyan műveletet elvégezni, amelyhez a rendszerindítási token szükséges.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: